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Editorial 


Liebe Leserin, 
lieber Leser, 


die Datenschutzrechte der EU-Bürgerinnen und -Bürger sind wieder einmal in Ge- 
fahr. 


Es liegen die Entwürfe zur Europäischen Datenschutz-Grundverordnung (EU- 
DSGVO) der Kommission, des Parlaments und seit 15.06.2015 auch des Rates vor. 
Insbesondere letzterer Entwurf ist sehr verarbeitungsfreundlich. Am 24.06.2015 
begann der sog. Trilog. Hierin versuchen Kommission, Parlament und Rat eine 
Einigung zu finden. Ende 2015 soll diese erzielt sein. Die Diskussionen zur EU- 
DSGVO standen von Vornherein unter übermäßigem Einfluss der Wirtschaftslobby. 
Es ist davon auszugehen, dass diese Einflussnahme während des Trilogs fortgesetzt 
und sogar noch verstärkt wird. 


Nun besteht aus heutiger Sicht die vorerst letzte Chance, gegen erwartete negative 
Auswirkungen der EU-DSGVO zu intervenieren. Daher widmen wir uns dem The- 
ma EU-DSGVO nunmehr mit dieser DANA erneut. Mit dieser Ausgabe soll ein 
umfassendes Stimmungsbild der im Datenschutz Aktiven entstehen. Wir hoffen, 
dass diese DANA denjenigen in Deutschland und in der EU, die Einfluss auf den 
Trilog nehmen können, Hilfestellung bietet. 


In dieser Ausgabe führt uns zunächst Thilo Weichert in die Historie des europäi- 
schen Datenschutzes und der Vorschläge für eine EU-DSGVO ein. Dann äußern 
sich zivilgesellschaftliche Organisationen und Einzelpersonen, (Datenschutz-)Ver- 
bände, die BfDI sowie die Konferenz der Datenschutzbeauftragten des Bundes und 
der Länder in kurzen Essays zu den Entwürfen der EU-DSGVO. Im Wesentlichen 
wird die Frage beantwortet, was die roten Linien sind, die beim Trilog in den kom- 
menden Monaten nicht überschritten werden dürfen. 


Auch der Europäische Datenschutzbeauftragte und der Evangelische Kirchentag 
haben sich mit der EU-DSGVO beschäftigt. Die entsprechende Pressemitteilung 
bzw. Resolution finden Sie im Anschluss an die Essays. 

Des Weiteren liefert uns Jörg Pohle einen Aufsatz zum Thema Zweckbindung. Ein 
thematisch besonders zu dieser Ausgabe passender Aufsatz, da insbesondere nach 
dem Entwurf des Rates eine Aufweichung der Zweckbindung droht. 

Außerdem finden Sie auf der Heftrückseite Informationen zu unserer im Oktober 
stattfindenden Jahrestagung ‚„‚Unterwegs und überwacht — Mobilität, Telematik und 
Datenschutz“. Wir freuen uns über Ihre Anmeldung! 


Nun wünschen wir Ihnen eine aufschlussreiche und kurzweilige Lektüre! 
Jaqueline Rüdiger und Frank Spaeing 


Autorinnen und Autoren dieser Ausgabe: 


Jörg Pohle 


studierte Rechtswissenschaft, Politikwissenschaft und Informatik. Derzeit promoviert er an der 
Humboldt-Universität zu Berlin zur Geschichte und Theorie des Datenschutzes aus informatischer Sicht 
und Folgerungen für die Technikgestaltung und koordiniert am Alexander von Humboldt Institut für 
Internet und Gesellschaft ein interdisziplinäres Forschungsprojekt zu Fragen der globalen Aushandlung 
im Privacy- und Datenschutzbereich (http://www.hiig.de/project/privacy-governance/). 


Dr. Thilo Weichert 


Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel, 
weichert@datenschutzzentrum.de 
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Thilo Weichert 


Europas Datenschutz 


Auf dem Weg zu einer Europäischen Datenschutz-Grundverordnung 


Mit der Europäischen Datenschutz- 
Grundverordnung (EU-DSGVO) schafft 
die Europäische Union (EU) weltweit 
erstmals eine umfassend direkt an- 
wendbare supranationale Datenschutz- 
regelung. Sie wird zu einer wichtigen 
Grundlage für die Diskussion des Da- 
tenschutzes in einer globalisierten Infor- 
mationsgesellschaft, die eine Strahlkraft 
und eine direkte Wirkung weit über Eu- 
ropa hinaus erlangen kann. 


1. Europarat 


Institutionelle Keimzelle des Daten- 
schutzes in Europa war nicht die EU, 
sondern der Europarat, eine zwischen- 
staatliche Organisation mit Sitz in Straß- 
burg, der u. a. auch Russland und die 
Türkei angehören. Nachdem in einigen 
industrialisierten Staaten in den 70er 
Jahren, allen voran in Deutschland, an- 
gesichts der Automation in Verwaltung 
und Wirtschaft, nationale oder regiona- 
le Datenschutzgesetze erlassen worden 
waren (im deutschen Bundesland Hes- 
sen trat 1970 weltweit das erste Daten- 
schutzgesetz in Kraft), zeigte sich die 
Notwendigkeit einer überstaatlichen Re- 
gulierung: Datenschutz droht angesichts 
des globalen Handels entweder unwirk- 
sam oder ein Handelshindernis zu sein, 
wenn keine internationalen Standards 
festgelegt werden, bei deren Beachtung 
der grenzüberschreitende Austausch 
personenbezogener Daten erlaubt wird. 

Mit dem Übereinkommen Nr. 108 
„zum Schutz des Menschen bei der au- 
tomatischen Verarbeitung personenbe- 
zogener Daten“ vom 28.01.1981 schuf 
der Europarat unter Verwendung der auf 
nationaler Ebene entwickelten Grund- 
prinzipien allgemein anerkannte Min- 
deststandards für den öffentlichen wie 
für den privaten Bereich. In der Folge 
erarbeitete der Europarat eine Vielzahl 
von bereichsspezifischen Datenschutz- 
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empfehlungen, so etwa für folgende 
Bereiche: automatisierte medizinische 
Datenbanken (1981), wissenschaftliche 
Forschung und Statistik (1983), Di- 
rektwerbung (1985), soziale Sicherheit 
(1986), Polizei (1987), Arbeitsverhält- 
nis (1989), Zahlungsverkehr (1990), 
Übermittlung durch öffentliche Stellen 
(1991), Telekommunikation (1995), 
Medizin (1997), Internet (1999).' Das 
Übereinkommen Nr. 108 wurde im Jahr 
2001 mit einem Zusatzprotokoll zu Kon- 
trollstellen und zum grenzüberschreiten- 
den Datenaustausch ergänzt. 

Für die Entwicklung des Datenschut- 
zes in Europa war die Rechtsprechung 
des Europäischen Gerichtshofes für 
Menschenrechte (EGMR) mit Sitz in 
Straßburg von Bedeutung. Dieser kann 
angerufen werden, wenn in Mitglied- 
staaten des Europarats Verstöße gegen 
die Europäische Menschenrechtskon- 
vention (EMRK) geltend gemacht wer- 
den. Art. 8 der EMRK regelt: 


Recht auf Achtung des Privat- und 
Familienlebens 

(I) Jede Person hat das Recht auf 
Achtung ihres Privat- und Familienle- 
bens, ihrer Wohnung und ihrer Korres- 
pondenz. 

(2) Eine Behörde darf in die Ausübung 
dieses Rechts nur eingreifen, soweit der 
Eingriff gesetzlich vorgesehen und in 
einer demokratischen Gesellschaft not- 
wendig ist für die nationale oder öffent- 
liche Sicherheit, für das wirtschaftliche 
Wohl des Landes, zur Aufrechterhaltung 
der Ordnung, zur Verhütung von Strafta- 
ten, zum Schutz der Gesundheit oder der 
Moral oder zum Schutz der Rechte und 
Freiheiten anderer. 


Die Institutionen nach der EMRK in 
Straßburg erkennen immer mehr Teil- 
aspekte des Datenschutzes als in den 
Schutzbereich des Rechts auf Privatle- 


ben fallend an. Der EGMR urteilte, dass 
selbst bei öffentlich frei zugänglichen 
Daten durch eine systematische Samm- 
lung und Speicherung unzulässig in das 
Grundrecht nach Art. 8 eingegriffen 
werden kann.” Auch wenn vom EGMR 
noch kein eigenständiges Recht auf in- 
formationelle Selbstbestimmung aner- 
kannt wurde, so kommt dessen Ausle- 
gung des Art. 8 EMRK einem modernen 
Verständnis von Datenschutz sehr nah.” 


2. Der grundrechtliche Ansatz 


Rechtlich hat Datenschutz in Europa 
zwei historische Ableitungen. Dies ist 
zum einen der Schutz der Privatsphäre, 
zum anderen der weiterreichende Schutz 
des allgemeinen Persönlichkeitsrechts. 
Während der erstgenannte Ansatz sphä- 
renbezogen das Verhältnis zwischen 
Individualität und Gesellschaft einhegt, 
verfolgt der zweitgenannte Ansatz die 
Entfaltung individueller Freiheitsrechte, 
allen voran die allgemeine Handlungs- 
freiheit. 

Diesem zweiten Ansatz verpflichtet 
entschied das deutsche Bundesverfas- 
sungsgericht (BVerfG) im Volkszäh- 
lungsurteil vom 15.12.1983, dass jedem 
Einzelnen ein „Recht auf informatio- 
nelle Selbstbestimmung“ zusteht, dem 
dieses Gericht wenig später explizit 
einen eigenständigen Grundrechtssta- 
tus beimaß. Dabei beschränkte sich das 
BVerfG nicht darauf, dieses Grund- 
recht als subjektives Recht der einzel- 
nen Menschen auszugestalten, sondern 
betonte dessen Rolle als „elementare 
Funktionsbedingung eines auf Hand- 
lungs- und Mitwirkungsfähigkeit seiner 
Bürger begründeten freiheitlichen de- 
mokratischen Gemeinwesens“.* Diese 
Rechtsprechung wurde vom BVerfG 
weitergeführt, als es feststellte: „Dass 
die Freiheitswahrnehmung der Bürger 
nicht total erfasst und registriert werden 
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darf, gehört zur verfassungsrechtlichen 
Identität der Bundesrepublik Deutsch- 
land“.° Die Rechtsprechung des BVerfG 
entfaltete eine nachhaltige Wirkung auf 
die Rechtsprechung des EGMR, der na- 
tionalen Gerichte europäischer Staaten 
wie auch des Europäischen Gerichts- 
hofes (EuGH), der obersten judikativen 
Instanz in der EU. 

Der EuGH entwickelte sich nach 
vorsichtigen Anfängen immer mehr 
zu einer zentralen Quelle des europäi- 
schen Datenschutzes. In einem seiner 
ersten Urteile zu den gemeinsamen Ge- 
meinschaftsgrundrechten erkannte der 
EuGH ein Recht auf Privatleben an.‘ 
Inzwischen gewährt er umfassenden 
Grundrechtsschutz bei der Verarbei- 
tung personenbezogener Daten ohne 
Beschränkung auf sensible Daten oder 
eine direkte Beeinträchtigung beim 
Betroffenen. Parallel zur Entwicklung 
der Europäischen Wirtschaftsgemein- 
schaft zu einer Werteunion verlangte 
der EuGH für den Schutz personenbe- 
zogener Daten keinen Bezug mehr zu 
einer kommerziellen Tätigkeit. In sei- 
nem Urteil zur Vorratsdatenspeicherung 
vom 08.04.2014 bekräftigte der EuGH 
für die Verarbeitung personenbezogener 
Daten nicht nur die strenge Anwendung 
des Erforderlichkeits- und Verhältnis- 
mäßigkeitsgrundsatzes, sondern bestä- 
tigte die zuvor schon vom BVerfG in 
seiner Volkszählungsentscheidung be- 
gründeten Grundrechtsschutzprinzipen 
der Bestimmtheit und der Transparenz, 
der technisch-organisatorischen und der 
prozeduralen Sicherungen.’ 


3. Die Europäische Datenschutz- 
Richtlinie 


Innerhalb der EU erwies sich schnell, 
dass der Rahmen der Europarats-Kon- 
vention Nr. 108 für die Entwicklung 
des europäischen Binnenmarktes nicht 
ausreicht und dass hinsichtlich des 
Datenschutzes eine höhere normative 
Verbindlichkeit nötig ist. 1975, 1976, 
1979 und 1982 forderte das Europäische 
Parlament nachdrücklich eine verbind- 
liche Festlegung der wichtigsten Ver- 
arbeitungsgrundsätze.® 1990 ergriff die 
Kommission dann endlich die Initiative 
und legte ein Bündel von Vorschlägen 
vor. Die Vorlage erschien dringlich, da 
5 Mitgliedstaaten bis dahin immer noch 
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keine Datenschutzvorschriften vorwei- 
sen konnten und dies die Vollendung 
des Gemeinsamen Marktes behinder- 
te. Die Diskussion in den europäischen 
Gremien führte zu einer Übernahme von 
Regelungselementen aus verschiedenen 
nationalen Gesetzen und schließlich zur 
Verabschiedung der Richtlinie 95/46/ 
EG „zum Schutz natürlicher Personen 
bei der Verarbeitung personenbezoge- 
ner Daten und zum freien Datenver- 
kehr“ vom 24.10.1995 (Europäische 
Datenschutzrichtlinie -— EG-DSRl). Wie 
schon der Titel erkennen lässt, soll diese 
Richtlinie im Rahmen des gemeinsamen 
Binnenmarktes den freien Datenverkehr 
innerhalb der EU gewährleisten. Ihr An- 
wendungsbereich erstreckt sich auf den 
öffentlichen wie auch den privaten Be- 
reich, erfasst jedoch nicht den Polizei- 
und Justizbereich und auch nicht die 
gemeinsame Außen- und Sicherheitspo- 
litik. 

In Art. 29 EG-DSRl ist eine Arbeits- 
gruppe der Datenschutzbehörden der 
Mitgliedstaaten vorgesehen, der in- 
zwischen auch der Europäische Da- 
tenschutzbeauftragte (European Data 
Protection Supervisor — EDPS) ange- 
hört. Der EDPS nahm 2004 seine Arbeit 
auf, nachdem die EU im Jahr 2000 in 
der Verordnung (EG) Nr. 45/2001 den 
Umgang mit personenbezogenen Daten 
durch die EU-Organe und dessen Kon- 
trolle durch den EDPS geregelt hatte. 
Eine Funktion des EDPS besteht darin, 
die EU-Kommission zu beraten, soweit 
deren Aktivitäten Auswirkungen auf 
den Datenschutz haben. Die Artikel-29- 
Arbeitsgruppe koordiniert die Arbeit der 
nationalen Datenschutzbehörden in der 
EU, um unter Anwendung der gemein- 
samen europäischen Regelungen ein 
einheitliches Datenschutzniveau zu ge- 
währleisten. 

Neben der EG-DSRI erließ die EU 
inzwischen eine Vielzahl weiterer Re- 
gelungen, die explizit oder indirekt Re- 
levanz für den Datenschutz haben. Von 
besonderer Bedeutung ist insbesondere 
die Datenschutzrichtlinie für den Be- 
reich der Telekommunikation.’ Diese 
Richtlinie zur elektronischen Kommu- 
nikation wurde 2009 überarbeitet und 
sieht seitdem z. B. vor, dass Verletzun- 
gen des Schutzes personenbezogener 
Daten gemeldet werden müssen.'? Mit 
einer weiteren Richtlinie wurden die 


EU-Mitgliedstaaten zu Regelungen 
verpflichtet, eine Speicherung von Ver- 
kehrs- und Standortdaten der elektroni- 
schen Kommunikation für Zwecke der 
Ermittlung, Feststellung und Verfolgung 
von schweren Straftaten sicherstellen.'' 
Diese Richtlinie wurde vom EuGH mit 
Urteil vom 08.04.2014 wegen Verlet- 
zung der Grundrechte auf Privatsphäre 
und auf Datenschutz aufgehoben. '? 

In Anwendung der EG-DSRI präzi- 
sierte der EuGH die Anforderungen an 
die personenbezogene Datenverarbei- 
tung in der EU. Mit den Urteilen vom 
09.03.2010 und vom 16.10.2012 be- 
tonte das Gericht die Notwendigkeit 
der Unabhängigkeit der Datenschutz- 
aufsichtsbehörden.'” Mit Urteil vom 
29.06.2010 entschied sich der EuGH 
bei einem Konflikt zwischen Informati- 
onsfreiheit und Datenschutz zugunsten 
des individuellen Grundrechtsschutzes 
des von der Verarbeitung Betroffenen.'* 
Mit Urteil vom 24.11.2011 stellte der 
EuGH klar, dass die verpflichtenden 
Regelungen der EG-DSRl es verbieten, 
dass die nationalen Gesetzgeber nach 
oben wie nach unten hiervon abwei- 
chen (sog. Vollharmonisierung).'® Mit 
Urteil vom 13.05.2014 wurde die um- 
fassende Anwendbarkeit der EG-DSRI 
für Internetsuchmaschinen bestätigt und 
die datenschutzrechtlichen Anforderun- 
gen einer differenzierten Interessen- 
bewertung bei der Sperrung/Löschung 
von Daten präzisiert.'‘ Mit Urteil vom 
11.12.2014 stellte der EuGH klar, dass 
die EG-DSRI bei einer Erfassung des 
öffentlichen Raums (hier Videoüber- 
wachung) anwendbar ist und die Privile- 
gierung für ausschließlich persönliche 
und familiäre Tätigkeiten nicht gilt.'” 

Die polizeiliche und justizielle Zu- 
sammenarbeit in der EU, die frühere 
„dritte Säule“ des EU-Vertrags, ist bis- 
her weitgehend unreguliert und blieb so 
ein Flickenteppich einiger europäischer, 
vieler nationaler und teilweise — wie in 
Deutschland — regionaler Regelungen. 
Für alle EU-Mitgliedstaaten gilt das 
Übereinkommen Nr. 108 des Europa- 
rats. Vom Europarat stammt zudem 
eine Empfehlung zum Datenschutz im 
Polizeibereich.'® Viele Mitgliedstaaten 
haben sich dafür entschieden, den Po- 
lizei- und Justizbereich in den Umset- 
zungsakt der Richtlinie 95/46/EG mit 
einzubeziehen. Zu Europol, Eurojust, 
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zum Schengener Informationssystem 
sowie zur Flüchtlings- und Ausländer- 
politik gibt es spezifische Datenschutz- 
regelungen auf EU-Ebene. Schließlich 
gibt es bzgl. des Informationsaustauschs 
zwischen den Mitgliedstaaten einen 
Rahmenbeschuss 2008/977/JI, der bis 
Ende 2010 national umgesetzt werden 
musste, aber nur ein niedriges Schutz- 
niveau gewährt. Die EG-DSRI schließt 
den Polizei- und Justizbereich ausdrück- 
lich aus. Entsprechendes gilt für die ge- 
plante EU-DSGVO. Für diesen Bereich 
ist eine eigenständige Richtlinie geplant, 
die sich jedoch noch nicht im Trilogver- 
fahren befindet. 


4. Europäische Grundrechtecharta 


Lange war Datenschutz als Grund- 
recht durch den EuGH nur als gemein- 
samer Standard der Mitgliedstaaten 
anerkannt. Dies änderte sich durch den 
am 01.12.2009 in Kraft getretenen Ver- 
trag von Lissabon, zu dem eine „Charta 
der Grundrechte“ (EUGRCh) gehört, 
über die man sich schon im Jahr 2000 
verständigt hatte. Dort sind in den Art. 
7 und 8 die Privatsphäre und der Daten- 
schutz gewährleistet. 


Artikel 7 — Achtung des Privat- und 
Familienlebens 

Jede Person hat das Recht auf Ach- 
tung ihres Privat- und Familienlebens, 
ihrer Wohnung sowie ihrer Kommunika- 
tion. 


Artikel 8 — Schutz personenbezogener 
Daten 

(I) Jede Person hat das Recht auf 
Schutz der sie betreffenden personenbe- 
zogenen Daten. 

(2) Diese Daten dürfen nur nach Treu 
und Glauben für festgelegte Zwecke und 
mit Einwilligung der betroffenen Person 
oder auf einer sonstigen gesetzlich ge- 
regelten legitimen Grundlage verarbei- 
tet werden. Jede Person hat das Recht, 
Auskunft über die sie betreffenden erho- 
benen Daten zu erhalten und die Berich- 
tigung der Daten zu erwirken. 

(3) Die Einhaltung dieser Vorschrif- 
ten wird von einer unabhängigen Stelle 
überwacht. 


Der Vertrag von Lissabon, mit dem 
die Säulenstruktur der EU beseitigt 
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wird, sieht mit Art. 16 Vertrag über die 
Arbeitsweise der Europäischen Union 
(AEUV) eine allgemeine Datenschutz- 
regelung vor, die das Europäische Par- 
lament und den Rat der EU beauftragt, 
Vorschriften zum Datenschutz zu erlas- 
sen. Die Regelung begründet zugleich 
ein subjektives Recht auf Datenschutz, 
wobei unklar ist, inwieweit unter Be- 
rufung hierauf gerichtliche Klagen ge- 
stützt werden können. 


5. Der Konflikt mit den USA 


Die Diskussion um den Datenschutz in 
Europa steht in einem praktischen Span- 
nungsverhältnis zu Bestrebungen und 
zur Rechtssituation in den USA: Dort 
ist bis heute vom obersten Gericht, dem 
US Supreme Court, kein Grundrecht auf 
informationelle Selbstbestimmung oder 
auf Datenschutz anerkannt. Zwar sieht 
der US Supreme Court sog. „chilling 
effects“ durch informationelle Maßnah- 
men auf von der Verfassung geschützte 
Rechte wie Meinungs-, Presse-, Infor- 
mations- und Versammlungsfreiheit. 
Auch sind materielle Auswirkungen in- 
formationeller Maßnahmen justiziabel. 
Doch personenbezogene Datenverarbei- 
tung selbst wird als Grundrechtseingriff 
nicht akzeptiert. Grundrechte binden 
nach herrschendem US-Verständnis in 
keiner Weise private Unternehmen und 
gelten nur für US-Einwohnerinnen und 
-Einwohner, also z. B. nicht für die aus- 
ländische Kundenschaft von US-Inter- 
netunternehmen. Betroffenen werden 
allenfalls „reasonable expectations of 
privacy“ zugestanden, wobei vernünf- 
tige Erwartungen an die Wahrung der 
Privatheit unvernünftig eng interpretiert 
werden. So besteht gemäß der „third par- 
ty doctrine“ kein Schutz bei Daten, die 
einmal auf Betreiben eines Betroffenen 
in den öffentlichen Raum gelangt sind. 
Sicherheitsbelange ebenso wie kommer- 
zielle Verwertungsinteressen werden 
von der Rechtsprechung als grundsätz- 
lich überwiegend gegenüber Interessen 
von Betroffenen auf informationellen 
Schutz bewertet. Dies ist zweifellos für 
die US-amerikanische Sicherheitsdomi- 
nanz sowie für die Marktdominanz der 
dort beheimateten Unternehmen — von 
Amazon über Apple, eBay, Facebook, 
Google, Microsoft bis Salesforce und 
Uber - förderlich. Für die Wahrung der 


Datenschutzrechte der Menschen in Eu- 
ropa, die manchmal freiwillig, manch- 
mal gezwungenermaßen die Dienstleis- 
tungen der US-Anbieter verwenden, ist 
dies jedoch fatal. 

Anders als die Bundesregierung hat 
die EU-Kommission erkannt, dass die 
Missachtung des Datenschutzes durch 
US-Unternehmen die Wahrung des 
Grundrechtsschutzes in Europa gene- 
rell untergräbt und dass dies zugleich 
zu einer Marktverzerrung zulasten eu- 
ropäischer Anbieter führt, die dem eu- 
ropäischen Datenschutzrecht effektiver 
unterworfen werden können. Dies führt 
z. B. dazu, dass der Safe-Harbor-Be- 
schluss der EU-Kommission aus dem 
Jahr 2000 heute von dieser in Frage ge- 
stellt wird. Mit ihm sollte der freie Aus- 
tausch mit US-Unternehmen und damit 
der wirtschaftliche Anschluss an die 
informationstechnische Entwicklung in 
den USA erreicht werden. Inzwischen 
hat Safe Harbor den entgegengesetzten 
Effekt und untergräbt zugleich die di- 
gitalen Grundrechte der Europäer. Die 
EU-Gremien sehen in der Vereinheit- 
lichung und Effektivierung des Daten- 
schutzes in Europa ein Instrument, um 
der ökonomischen US-Dominanz etwas 
rechtlich entgegen setzen zu können.'? 

Diese Herausforderung erkennend, 
versuchen die USA den Prozess der 
Vereinheitlichung und Effektivierung 
des Datenschutzes in Europa mit allen 
Mitteln zu bekämpfen. Dies äußert sich 
in intensiver Lobbyarbeit in Brüssel 
nicht nur durch private Einrichtungen, 
sondern auch durch die Obama-Admi- 
nistration. Dabei geht es nicht nur um 
die Verteidigung des Safe Harbor, son- 
dern um direkte Einflussnahme auf die 
europäische Normsetzung sowie um 
den Versuch, über das Freihandelsab- 
kommen TTIP zu einer Senkung der 
europäischen Datenschutzstandards zu 
kommen.” 


6. Vorschläge zur EU-DSGVO 


Schon vor dem Inkrafttreten des Ver- 
trags von Lissabon 2009 hat die EU- 
Kommission eine offene Konsultation 
zur Überarbeitung der EG-DSRI gestar- 
tet. Im November 2010 veröffentlichte 
dann die Kommission eine Mitteilung 
über ein Gesamtkonzept für den Daten- 
schutz in der EU. Darin wird als Ziel 
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vorgegeben, das Datenschutzrecht weit- 
gehend zu harmonisieren, ein „Recht 
auf Vergessen“ zu etablieren, die Unab- 
hängigkeit der Datenschutzbehörden zu 
verbessern und die Regelungen über den 
Datentransfer in Drittstaaten zu optimie- 
ren. 

Am 25.01.2012 legte die EU-Kommis- 
sion einen umfassenden Vorschlag einer 
Europäischen Datenschutz-Grundver- 
ordnung (EU-DSGVO) vor. Dieser Vor- 
schlag ist Teil eines größeren Pakets zur 
Reform des EU-Datenschutzrahmens, 
zu dem auch Richtlinien-Vorschläge 
für den Bereich der Strafverfolgung ge- 
hören. Die Kommission entschied sich 
nach langer Diskussion — anders als 
im Bereich Innen und Justiz — für das 
Instrument einer direkt anwendbaren 
Verordnung und gegen eine durch nati- 
onales Recht umzusetzende Richtlinie, 
um einen einheitlichen Rahmen für die 
Privatwirtschaft und weite Teile des öf- 
fentlichen Sektors zu erlangen.”? 

Die Argumente, die für eine einheitli- 
che Regelung sprechen, sind erdrückend: 
Angesichts des informationstechnischen 
Binnenmarktes benötigen sämtliche Be- 
teiligte, insbesondere die Unternehmen, 
einheitliche Datenschutzstandards, um 
nicht einem Regelungswirrwarr ausge- 
setzt zu sein, der nationales oder regi- 
onal unterschiedliches Vorgehen nötig 
macht. Zudem ist es durch gemeinsame 
Regeln einfacher, sich gegen internatio- 
nales Datenschutzdumping, komme es 
nun aus den USA oder aus Südostasien, 
zur Wehr zu setzen. Dessen ungeachtet 
gehörte die deutsche Politik lange Zeit 
zu den Kräften, die gemeinsam mit noto- 
rischen Datenschutzverweigerern in der 
EU wie Großbritannien und Irland das 
Zustandekommen der einheitlichen Re- 
geln behinderte. Bereits am 30.03.2012 
legte der deutsche Bundesrat eine Subsi- 
diaritätsrüge ein mit der Begründung, es 
sei nicht ausreichend dargelegt, weshalb 
eine verbindliche Vollregelung auf euro- 
päischer Ebene erforderlich sei.” 

Die EU-DSGVO soll eine umfassende 
direkt anwendbare Datenschutzregelung 
für ganz Europa sein, die mit technik- 
und zukunftsoffenen Regelungen größt- 
mögliche Verbindlichkeit hat. Folgende 
Grundprinzipien werden dabei verfolgt: 
- Die neuen Datenschutzregeln sollen 

auch für Anbieter gelten, deren Da- 

tenverarbeitung außerhalb der Uni- 
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on stattfindet, ihre Angebote aber an 
Menschen in der EU richten (wie etwa 
Facebook und Google). 
Bei internationalen Einrichtungen soll 
für die konkreten Kontroll- und Sank- 
tionsmaßnahmen nur die Aufsichts- 
behörde zuständig sein, die sich am 
Hauptsitz befindet (One-Stop-Shop). 
In einem Kohärenzverfahren werden 
andere beteiligte Aufsichtsbehörden 
eingebunden. 
Die Betroffenen müssen über den 
Umgang mit ihren Daten durch Trans- 
parenzregelungen und Auskunftsan- 
sprüche über Stellen, Zwecke und 
Speicherdauer informiert werden. In 
Internet-Datenschutzerklärungen sol- 
len standardisierte Symbole verwen- 
det werden. 
Durch datenschutzfreundliche Techni- 
ken und Grundeinstellungen (privacy 
by design und by default) sollen die 
verwendeten IT-Produkte die Umset- 
zung des Datenschutzes fördern. 
Die bisherige Vorabkontrolle wird zu 
einer Risiko- und Folgenabschätzung 
ausgebaut. Mit Zertifizierungsverfah- 
ren und Audits soll das Risiko von Da- 
tenschutzverstößen reduziert werden. 
Datenschutzpannen sind zeitnah ge- 
genüber den Aufsichtsbehörden und 
den Betroffenen zu melden. 
Verbindliche interne Unternehmens- 
richtlinien (Binding Corporate Rules) 
sollen gestärkt werden. 
Die Beschwerde- und Rechtsschutz- 
möglichkeiten für die Betroffenen 
werden verbessert. 
- Bei Datenschutzverstößen sollen 
deutlich höhere Bußgelder als derzeit 
verhängt werden. 


Am 12.03.2014 beschloss das Eu- 
ropäische Parlament auf der Basis der 
Kommissionsvorschläge einen eigenen 
von dem grünen Berichterstatter Jan 
Phillipp Albrecht ausgehandelten Text- 
vorschlag.”* Von den 653 an der Abstim- 
mung Beteiligten stimmten 621 dem 
Text zu, 10 Abgeordnete stimmten dage- 
gen, 22 enthielten sich. Vorausgegangen 
war am 21.10.2013 eine entsprechende 
positive Entscheidung durch den Innen- 
und Justizausschuss des Parlaments 
(LIBE, 49 Ja-Stimmen, 1 Gegenstimme, 
3 Enthaltungen).” Parallel beschloss das 
Parlament mit einer geringeren Mehr- 
heit sein Votum zu einem Richtlinien- 


vorschlag für den Polizeibereich. In dem 
zwei Jahre dauernden Verhandlungs- 
prozess waren offiziell ca. 3000 Ände- 
rungsvorschläge erörtert worden, die 
teilweise direkt von Lobbygruppen über 
Parlamentarier in das Verfahren einge- 
führt worden waren. Im Ergebnis folg- 
te der Parlamentsvorschlag weitgehend 
der Kommission. Er sieht jedoch einen 
geringeren Einfluss der Kommission 
und eine Stärkung der unabhängigen 
Datenschutzbehörden vor. Viele Ände- 
rungen enthalten inhaltliche wie proze- 
durale Präzisierungen und verbessern 
die Transparenz. Die Umsetzungsinst- 
rumente werden geschärft, etwa durch 
eine Höchststrafe bei Datenschutzver- 
stößen von 100 Mio. Euro oder 5% des 
Jahresumsatzes eines Unternehmens. 
Die Diskussionen um die EU-DS- 
GVO stehen von Anfang an unter mas- 
sivem Lobbyeinfluss. Dieser Einfluss 
führte kurz vor der Veröffentlichung der 
Kommissionsvorschläge 2012 noch zu 
einer Veränderung in der Zustimmungs- 
anforderung für die werbliche Datennut- 
zung. Doch selbst die nun vorgesehenen 
sehr freizügigen Nutzungsregelungen 
sind weiterhin Gegenstand massiver 
Kritik von Wirtschaftslobbyisten hinter 
verschlossenen Türen.” Von Nichtre- 
gierungsorganisationen wurden auf dem 
Portal LobbyPlag.eu rund 11.000 Seiten 
an Dokumenten zu den Verhandlungen 
zusammengetragen und analysiert. Von 
den dabei untersuchten insgesamt 517 
Anträgen zielten laut LobbyPlag 403 
darauf ab, das ursprünglich anvisierte 
Datenschutzniveau abzusenken, nur 114 
forderten eine rigidere Verordnung.” 
Mit Datum vom 15.06.2015 einigten 
sich die Innen- und Justizminister im 
Rat der EU nach langen Verhandlungen 
auf ihre Positionen zur EU-DSGVO.* 
Noch unter dem Bundesinnenminister 
Hans-Peter Friedrich hatte die deutsche 
Delegation die Verhandlungen immer 
wieder dadurch behindert, dass sie nach 
außen hin die Position äußerte, das hohe 
deutsche Datenschutzniveau müsse er- 
halten bleiben. Ansatzpunkt der deut- 
schen Kritik war die geplante einheitli- 
che Anwendbarkeit der EU-DSGVO im 
öffentlichen wie im nicht-öffentlichen 
Bereich. Es wurde die Befürchtung ge- 
äußert, die ausdifferenzierten deutschen 
Regeln im öffentlichen Bereich müss- 
ten aufgeben werden. Zugleich machte 
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sich das Bundesinnenministerium zum 
Sprachrohr einer juristisch abseitig blei- 
benden Minderheitenposition, wonach 
im nicht-Öffentlichen Bereich beim Da- 
tenschutz das Verbot mit Erlaubnisvor- 
behalt abgeschafft gehöre. Mit dieser 
Position wird seit Jahren versucht, Wirt- 
schaftsunternehmen von strengen Da- 
tenschutzanforderungen zu befreien.” 
Unter Bundesinnenminister Thomas de 
Maiziere wurde dann eine konstruktive- 
re Verhandlungsstrategie verfolgt. 

Die Position des Rates ist verarbei- 
tungsfreundlicher als die der Kom- 
mission und erst recht des Parlaments. 
Anstelle einer „ausdrücklichen“ Ein- 
willigung soll diese nur „unzweideu- 
tig“ sein. Zweckänderungen werden bei 
„berechtigten Interessen“ erleichtert. 
Werbenutzungen sollen grds. nur durch 
Widerspruch verhindert werden kön- 
nen; Einwilligungen sind zumeist nicht 
gefordert. Das Prinzip der „Datenspar- 
samkeit‘“ spielt nur noch eine unterge- 
ordnete Rolle. Als Sanktionshöhe sind 
— erheblich geringer als die Pläne des 
Parlaments — höchstens 250.000 Euro 
oder 0,5% des Jahresumsatzes eines Un- 
ternehmens vorgesehen.’ 


7. Perspektiven 


Seit dem 23.06.2015 versuchen im 
sog. Trilog die Kommission, das Par- 
lament und der Rat, eine Einigung zu 
finden. Als zeitliches Ziel für eine po- 
litische Einigung wird Ende des Jahres 
2015 angegeben. Ein Inkrafttreten der 
EU-DSGVO ist dann nach etwa zwei 
weiteren Jahren geplant. Der Trilog wird 
entscheidend sein für Umfang, Inhalt 
und Wirksamkeit des künftigen Daten- 
schutzes in Europa. Es ist davon auszu- 
gehen, dass sich die Ergebnisse im Rah- 
men dessen halten werden, der von den 
drei EU-Gremien festgelegt wurde. Die 
Wirtschaftslobby wird versuchen, ihren 
Einfluss zur Geltung zu bringen. Die 


Datenschutzbeauftragten in Deutsch- 
land haben mit einem Text signalisiert, 
welche Schwerpunkte aus deren Sicht 
gesetzt werden müssen.°' Es ist nicht 
auszuschließen, dass sich der EuGH mit 
einer Entscheidung zu Safe Harbor in 
die für die EU-DSGVO wichtige Frage 
nach Auslandsübermittlungen einmi- 
schen wird.” Bei den kommenden Dis- 
kussionen wird die öffentliche Debatte 
eine wichtige Rolle spielen. Insofern 
sind die Nichtregierungsorganisationen 
aufgefordert, ihre Positionen darzulegen 
und dafür zu sorgen, dass die Gespräche 
zwischen den Trilog-Verhandlungspar- 
teien transparent geführt werden und 
dass dabei die öffentliche Meinung als 
ein wichtiger Beitrag mit berücksichtigt 
wird. 
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Auf den nächsten Seiten finden Sie die Beiträge der folgenden Organisationen, Verbände und Einzelpersonen, die sich mit 
den roten Linien, welche bei den Trilog-Verhandlungen zur EU-DSGVO nicht überschritten werden dürfen, auseinander- 
setzen (in alphabetischer Reihenfolge): BfDI — Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 
BvD - Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., Digitalcourage — Digitalcourage e.V., Digitale 
Gesellschaft — Digitale Gesellschaft e. V., FIfF — Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung 
e.V., GDD - Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder, Prof. Douwe Korff, Peter Schaar, vzbv — Bundesverband der Verbraucherzentralen und Verbraucher- 


verbände — Verbraucherzentrale Bundesverband e.V. (vzbv), Prof. Dr. Peter Wedde 
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BfDI - Andrea Voßhoff / Sven Hermerschmidt' 


„Wo sind die roten Linien, die bei den Trilog- 
Verhandlungen in den kommenden Monaten nicht 
überschritten werden dürfen?“ 


N 


BfDI 


Die Bundesbeauftragte für den 
Datenschutz und die Informations- 
freiheit sieht die Einigung im Rat 
der Justiz- und Innenminister vom 
15.6.2015 grundsätzlich positiv, 
denn damit ist die seit langem über- 
fällige Reform des Europäischen 
Datenschutzrechts einen ganz ent- 
scheidenden Schritt vorangekom- 
men. Auch aus inhaltlicher Sicht 
kann sich das Ergebnis vielfach 
durchaus sehen lassen. Gleichwohl 
gibt die Fassung des Rates in einigen 
Punkten Anlass zur Kritik. 


Die rote Linie verläuft salopp ge- 
sagt entlang des geltenden Rechts 
und des derzeit vorhandenen Daten- 
schutzniveaus. Sie wird mit anderen 
Worten dann überschritten, wenn die 
Datenschutz-Grundverordnung  hin- 
ter das derzeitige Datenschutzniveau 
zurückfällt. Die sich aus Artikel 8 der 
Grundrechtecharta und Art. 16 Abs. 1 
AEUV ergebenden Grundprinzipi- 
en des Datenschutzes dürfen daher 
nicht zur Disposition stehen. Gerade 
in Zeiten von Big Data und globaler 
Datenverarbeitung sind die Autono- 
mie des Einzelnen, Transparenz und 
Rechtmäßigkeit der Datenverarbei- 
tung, die Zweckbindung oder die 
Verantwortlichkeit des Datenverar- 
beiters ebenso wichtige Elemente der 
Grundrechtsgewährleistung wie eine 
starke Datenschutzaufsicht und wirk- 
same Sanktionen. 


DANA » Datenschutz Nachrichten 3/2015 


Zur Illustration sollen zwei der wich- 


tigsten Themen hier genannt werden: 


1.Die Zweckbindung ist eines der zen- 


tralen Prinzipien des Datenschutz- 
rechts. Sie dient der Transparenz und 
Vorhersehbarkeit der Verarbeitung 
personenbezogener Daten und stärkt 
damit die Autonomie des Einzelnen. 
Angesichts der Unsichtbarkeit und 
des Umfangs der Datenverarbeitung 
muss sich der Einzelne darauf verlas- 
sen können, dass seine personenbezo- 
genen Daten grundsätzlich nur zu den 
Zwecken weiterverarbeitet werden, zu 
denen sie erhoben worden sind. Art. 8 
Abs. 2 der Europäischen Grund- 
rechtecharta hat daher die Zweckbin- 
dung als tragendes Prinzip des Daten- 
schutzes verankert. 

Die Entwürfe der Kommission, aber 
vor allem des Rates, weichen die 
Zweckbindung in gefährlicher Weise 
auf. Zum einen sehen sie — im Unter- 
schied zur geltenden Richtlinie 95/46/ 
EG - vor, dass personenbezogene Da- 
ten auch zu solchen Zwecken weiter- 
verarbeitet werden dürfen, die mit dem 
ursprünglichen Zweck nicht vereinbar 
sind. Der Rat will dies darüber hinaus 
zulassen, wenn der Datenverarbeiter 
ein überwiegendes berechtigtes Inter- 
esse an dieser Zweckänderung hat. 
Damit wird ohne Not die geltende 
Rechtslage verändert und das Prinzip 
der Zweckbindung sehr weit ausge- 
höhlt. Aus meiner Sicht muss es daher 
beim geltenden Prinzip bleiben, dem 
sich das Europäische Parlament in sei- 
nem Entwurf auch verschrieben hat. 


2.Zentrale Legitimation für die Zuläs- 


sigkeit der Verarbeitung personenbe- 
zogener Daten ist weiterhin die Ein- 
willigung des Betroffenen. Recht auf 
informationelle Selbstbestimmung 


bedeutet, dass jeder selbst über Preis- 
gabe und Verwendung seiner per- 
sonenbezogenen Daten entscheiden 
kann. Die Einwilligung sichert diese 
Autonomie und ist daher auch in Art. 8 
Abs. 2 der EU-Grundrechtecharta als 
Legitimation für die Verarbeitung per- 
sonenbezogener Daten erwähnt. 
Diese zentrale Funktion der Einwilli- 
gung kann aber nur dann erfüllt wer- 
den, wenn sich der Einzelne der Trag- 
weite und Bedeutung seiner Entschei- 
dung bewusst wird. Dies erfordert 
eine ausdrückliche Willensbekundung 
des Betroffenen. Der Rat relativiert 
dies in seinem Vorschlag, in dem er 
eine unmissverständliche Einwilli- 
gung ausreichen lässt. Damit wird es 
insbesondere global agierenden IT- 
Unternehmen ermöglicht, durch die 
Verwendung pauschaler Datenschutz- 
bestimmungen und datenschutzun- 
freundlicher Voreinstellungen weitrei- 
chende Datenverarbeitungsbefugnisse 
ohne eine ausdrückliche Einwilligung 
des Nutzers für sich zu reklamieren. 
Im Trilog sollte daher die Fassung von 
Kommission und Parlament zugrunde 
gelegt werden. 


1 Die Autorin Voßhoff ist Bundesbe- 


auftragte für den Datenschutz und die 
Informationsfreiheit, der Autor Hermer- 
schmidt ist dort Referent und Leiter der 
Projektgruppe „Revision des Europä- 
ischen Datenschutzrechts“. 
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BvD - Rudi Kramer / Thomas Spaeing 


Wo sind die roten Linien? 


Die Diskussion um die EU-Daten- 
schutzgrundverordnung (EU-DSGVO) 
wird sehr kontrovers geführt. Wirt- 
schaftliche Interessen und Bürgerrech- 
te stehen sich vermeintlich unvereinbar 
gegenüber. Dabei verfolgt die Über- 
arbeitung der europarechtlichen Da- 
tenschutzregelungen — ebenso wie die 
Richtlinie aus 1995 — zwei Ziele: 

« den Schutz der natürlichen Person bei 
der Verarbeitung personenbezogener 
Daten 

« und den freien Datenverkehr. 


Zwangsläufig kollidieren diese beiden 
Ziele in Einzelfällen. Die roten Linien 
aus Sicht des Berufsverbands der Daten- 
schutzbeauftragten Deutschlands (BvD) 
e.V. werden dann überschritten, wenn 
das Ziel des Schutzes der natürlichen 
Person bei der Verarbeitung personen- 
bezogener Daten nicht erreicht wird. 


Grundrechtsschutz beachten 

Maßstab für den Schutz der natürli- 
chen Person bei der Verarbeitung perso- 
nenbezogener Daten für die Gestaltung 
der EU-DSGVO sind die Grundwerte 
des Art. 8 der Charta der Grundrechte 
der Europäischen Union. 

Daraus ergibt sich als Konsequenz, 
dass personenbezogene Daten nur unter 
Beibehaltung des Grundsatzes Verbot mit 
Erlaubnisvorbehalt, also auf Basis einer 
Rechtsgrundlage verarbeitet werden dür- 
fen. Dies schließt auch die Möglichkeit 
der Einwilligung durch die betroffene 
Person ein. Die in der Charta ausdrück- 
lich genannte Überwachungsinstanz der 
unabhängigen Stelle wird europaweit 
durch die Aufsichtsbehörden und darüber 
hinaus in Deutschland heute erfolgreich 
durch die innerbetriebliche Selbstkon- 
trolle durch die Funktion des Daten- 
schutzbeauftragten wahrgenommen. 


Zweckbindung ist Grundrechts- 


merkmal 
Ein weiteres mit Grundrechtschutz 
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versehendes Merkmal ist die Zweckbin- 
dung der Verarbeitung personenbezo- 
gener Daten in der Grundrechtscharta. 
Zweckänderungen nach Treu und Glau- 
ben für verwandte Zwecke lassen sich 
unter bestimmten gesetzlichen Voraus- 
setzungen wie der Vorhersehbarkeit ge- 
gebenenfalls rechtfertigen. Aber eine 
eigenmächtige Zweckänderung des Da- 
tenverarbeiters für mit dem eigentlichen 
Zweck nicht-kompatible Ziele ist unter 
Beibehaltung eines Personenbezugs mit 
der Grundrechtscharta kaum vorstellbar. 
Selbstverständlich werden betroffene 
Personen aber auch nicht gehindert, einer 
Zweckänderung zustimmen zu dürfen. 
Eine wesentliche Zweckänderung der 
Verarbeitung personenbezogener Daten 
ohne Einbeziehung der betroffenen Per- 
son wäre daher eine solche rote Linie. 

Die Merkmale des Transparenzgebotes 
im Datenschutz wie Auskunftsrecht und 
ein Berichtigungsanspruch sind weitere 
Leitplanken, die der europäische Gesetz- 
geber bei der EU-DSGVO zu beachten 
hat. Ein Anspruch auf Datenportabilität 
aber, auch wenn er in Einzelfällen bei 
dem Wechsel einzelner Dienstleistungen 
auf den ersten Blick nützlich erscheinen 
mag, bringt jedoch weitere offene Prob- 
leme mit sich: Was nützt eine Datenpor- 
tierung bei einem Online-Bestellsystem? 
Auch bei einem sozialen Netzwerk stellt 
sich die Frage, wie sichergestellt werden 
soll, dass alle bisherigen Kontaktperso- 
nen aus Netzwerk „A“ damit einverstan- 
den sind, mit der gemeinsamen Kom- 
munikation nun auch unter Geltung der 
Allgemeinen Geschäftsbedingungen des 
Netzwerks „B“ eingestellt zu werden? 
Hier werden mehr Fragen aufgeworfen, 
als durch die Neuregelung im Entwurf 
der EU-Kommission gelöst. 


Wirksame Aufsichtsstrukturen 
Alleinaus dem Schutzbereich des Art. 8 
der Charta der Grundrechte lässt sich 
auch die Überwachung durch eine un- 
abhängige Aufsicht herleiten. Hierdurch 


werden die natürlichen Personen inner- 
halb der Europäischen Gemeinschaft 
auch vor Zugriffsmöglichkeiten und Be- 
gehrlichkeiten der einzelnen Mitglieds- 
staaten geschützt. Dieser Schutzbereich 
ist aufgrund der Grundrechtsformulie- 
rung unabhängig von einer Bürgereigen- 
schaft zu einem Mitgliedsstaat der Eu- 
ropäischen Union. Damit werden auch 
betroffene Personen umfasst, die keine 
Bürger der Europäischen Union sind, 
deren Daten dort aber verarbeitet wer- 
den. Die Ausgestaltung dieser Schutz- 
behörde muss auch einen angemessenen 
Schutz gewährleisten, um diese Grund- 
rechtsregelung nicht auszuhöhlen. 

In Deutschland hat sich mit den 2-Säu- 
len eines staatlichen und betrieblichen / 
behördlichen Datenschutzbeauftragten 
ein System bewährt, dass im Rahmen ei- 
ner regulierten betrieblichen Selbstkont- 
rolle den Verarbeitungsverantwortlichen 
und Auftragsverarbeitern die Möglich- 
keit gibt, Aufgaben der Beratung, der 
Dokumentation und Kontrolle intern zu 
übernehmen. Zeitaufwändige Abstim- 
mung mit staatlichen Aufsichtsbehör- 
den werden dadurch auf ein Minimum 
reduziert, kompetente Ansprechpartner 
mit spezialisiertem Branchen-Know- 
How können frühzeitig in die Planung 
komplexer Projekte einbezogen wer- 
den und ein Scheitern aufgrund von zu 
spät erkannten Datenschutzverstößen 
verhindern. Um dieser Aufgabe gerecht 
zu werden, ist es zwangsläufig erforder- 
lich, dass der betriebliche / behördliche 
Datenschutzbeauftragte seine Aufgabe 
ohne Furcht vor Repressalien ausüben 
kann, Anspruch auf adäquate Aus- und 
Fortbildung hat, einer Verschwiegen- 
heitspflicht unterworfen und durch ein 
Benachteiligungsverbot geschützt wird. 
Aus Sicht der Unternehmen — aber auch 
der staatlichen Aufsichtsbehörden - ist 
es zudem erforderlich, dass der betrieb- 
liche / behördliche Datenschutzbeauf- 
tragte auch Aufgaben übernehmen kann 
und muss, die sonst über zentralistisch 
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organsierte Aufsichtsbehörden bearbei- 
tet werden müssten wie bei Regelungen 
zur vorherigen Zurateziehung. Hier sind 
aus Sicht der verarbeitenden Wirtschaft 
zeitliche Verbesserungen bei der Bear- 
beitung erforderlicher datenschutzrecht- 
licher Klärungen zu erreichen. So kann 
der betriebliche / behördliche Daten- 
schutzbeauftragte die Aufsichtsbehör- 
den bei der vorherigen Zurateziehung 
nach Art. 34 EU-DSGVO entlasten, 
sowie bei Kontroll- und Beratungs- 
aufgaben. Die besondere Stärke dieses 
Modells wird deutlich in dem erforder- 
lichen Schutz der natürlichen Personen 
sowie in der schnellen und praxisnahen 
Bearbeitung der datenschutzrelevanten 
Vorgänge in den Unternehmen vor Ort 
und damit in der schneller erreichten 
Rechtssicherheit für die Beteiligten. 


Datenverarbeitung ermöglichen 
Letztendlich definieren sich für den 
BvD die roten Linien der EU-DSGVO 
aber auch danach, wie das zweite Ziel, 
der freie Datenverkehr erreicht wird. Die 
Verarbeitung personenbezogener Daten 
muss unter Berücksichtigung der Interes- 
sen der betroffenen Person möglich sein. 
Kaum ein Wirtschaftszweig ist ohne Da- 
tenverarbeitung vorstellbar. Und bei den 
meisten Unternehmungen erfolgt die Da- 
tenverarbeitung nur als Nebenschauplatz 
der unternehmerischen Tätigkeit, wenn es 
um die Verarbeitung der Beschäftigten- 
oder Kundendaten geht. Zu umfassende 
Einwilligungsvoraussetzungen können 
dem entgegenstehen, wenn dadurch auch 
keine weitere Rechtssicherheit für die be- 
troffene Person gewährleistet wird. Auch 
müssen Informationspflichten so gestaltet 
sein, dass sie durch die betroffene Person 
noch wahrgenommen werden können 
und sich auf die wesentlichen Aussagen 
beschränken, um die Zielgruppe nicht 
durch seitenlange „ausufernde‘“ Infor- 


mationen zu überfordern. Welchen Stel- 
lenwert hat beispielsweise die Angabe 
über die voraussichtliche Speicherdauer 
gegenüber der betroffenen Person bei der 
Datenerhebung, wenn die wesentlichen 
Informationen handels- oder steuerrecht- 
lichen Aufbewahrungsvorschriften unter- 
liegen? Die Rechtmäßigkeitsvorausset- 
zungen für die Verarbeitung personen- 
bezogener Daten müssen auch für kleine 
und mittlere Unternehmen (KMU) klar 
und verständlich anwendbar sein — auch 
ohne Einbeziehung eines spezialisier- 
ten Rechtsanwalts. Dabei sind auch Er- 
leichterungen für KMUs zu hinterfragen: 
Diese dürfen nicht dazu führen, dass das 
Ziel des Schutzes der natürlichen Per- 
son eingeschränkt wird, nur um KMUs 
die Verarbeitung zu ermöglichen. Das 
bisherige Schutzkonzept aus Eigenver- 
antwortlichkeit des Unternehmens, staat- 
licher Aufsicht und interner Beratung 
und Überwachung durch einen durch das 
Unternehmen selbst ausgewählten (auch 
externen) Datenschutzbeauftragten bietet 
auch hier die Gewähr für eine angemes- 
sene Interessensberücksichtigung. Einen 
Grundrechtsschutz durch die Unterneh- 
mensgröße in Form der Mitarbeiterzahl 
zu begrenzen wäre ungewöhnlich und 
europarechtlich fraglich. Denn gerade 
in diesem Bereich benötigen die Unter- 
nehmen aller Größenordnungen Rechts- 
sicherheit durch die Funktion des Daten- 
schutzbeauftragten. 

So wird die Wirksamkeit der gefor- 
derten Schutzmaßnahmen ohne be- 
triebliche / behördliche Datenschutz- 
beauftragte allein von der Ausstattung 
und der Kontrollfähigkeit starker Auf- 
sichtsbehörden abhängen, ein Ansatz, 
der an das 19. Jahrhundert erinnert und 
jegliche positive Erfahrungen zur re- 
gulierten Selbstkontrolle der letzten 20 
Jahre unter der RL EU 95/46 EG außen 
vor lässt. 


Und wie definiert man letztendlich 
die „roten Linien“, wenn sich heraus- 
stellt, dass die personelle Ausstattung der 
Aufsichtsbehörden einen Flaschenhals 
darstellt, der sich negativ auf die beiden 
Ziele der EU-DSGVO auswirkt? Wenn 
weder aufgrund unzureichender Kont- 
rollen der Schutz der natürlichen Person 
vor wunrechtmäßiger Verwendung der 
Daten sichergestellt werden kann, noch 
der rechtssichere, freie Datenverkehr 
gewährleistet ist, weil die Anfrage über 
Art. 34 bei der Zurateziehung der Auf- 
sichtsbehörden zu Verzögerungen bei der 
Einführung von Geschäftsmodellen oder 
Verarbeitungstechniken führt? Zumal die 
Aufsichtsbehörden ihr Personal auf die 
Fälle priorisieren werden, bei denen wie 
im Kohärenzverfahren enge zeitliche Re- 
aktionszeiten vorgegeben sind. 

Der Berufsverband der Datenschutz- 
beauftragten (BvD) e.V. sieht unüber- 
schreitbare rote Linien für den europä- 
ischen Gesetzgeber bei der Gestaltung 
der EU-DSGVO stets in der Verletzung 
des Grundrechtsschutzes der natürlichen 
Person oder aber in großem Formalis- 
mus, ohne dass aus ihm ein Mehrwert für 
die natürliche Person oder für das Un- 
ternehmen ein Mehrwert unter Berück- 
sichtigung der Interessen der natürlichen 
Person erlangt wird. Die Funktion des be- 
trieblichen / behördlichen Datenschutz- 
beauftragten ist darauf ausgerichtet, auf 
die Einhaltung genau dieser Grenzen tag- 
aktuell hinzuwirken — eine Aufgabe, die 
durch behördliche Kontrolle keinesfalls 
in gleicher Effizienz und Wirtschaftlich- 
keit erfüllt werden kann. 


Ihr BvD-Ansprechpartner: 
Vorstandsvorsitzender Thomas Spa- 

eing, Budapester Straße 31, 10787 Ber- 

lin, Tel: 030 . 26 36 77 60, 

E-Mail: bvd-gs@bvdnet.de, 

Internet: https://www.bvdnet.de 


DANA » Datenschutz Nachrichten 3/2015 


119 


Digitalcourage 


Fünf rote Linien für Datenschutz in Europa 


Die Europäische Union hat vor mehr 
als drei Jahren eine Datenschutzreform 
begonnen, die neue Verordnung darf auf 
keinen Fall hinter die bestehenden Re- 
geln aus dem Jahr 1995 zurückfallen. 

Jetzt sind die Verhandlungen im Tri- 
log entscheidend für die Zukunft des 
Datenschutzes in Europa und damit für 
zahlreiche Grundrechte im digitalen 
Zeitalter. 


Fünf rote Linien müssen in den Tri- 
log-Verhandlungen unbedingt eingehal- 
ten werden: 


Mit der Datenschutzreform muss der 
EU der große Wurf gelingen. Daten- 
schutz muss zeitgemäß werden — das 
heißt, ein Zurückfallen hinter die alte 
Richtlinie darf es nicht geben! 

Jetzt ist der Trilog entscheidend für 
die Zukunft des Datenschutzes in Euro- 
pa und für unsere Grundrechte im digi- 
talen Zeitalter. 


Wir zeigen fünf Grenzen, die nicht 
überschritten werden dürfen: 


1 Prinzipien der Speicherung 

In Artikel 5 hat der Ministerrat das 
Prinzip der Datensparsamkeit zurück- 
gefahren: Statt „limited to the mini- 
mum necessary“ — also aufs notwen- 
digste beschränkt - sollen Datensamm- 
lungen jetzt „not excessive“ sein. Das 
ist ein klarer Rückschritt. Datenspar- 
samkeit muss ein starkes Prinzip blei- 
ben. Nur Datensammlung, die sich auf 
das Notwendigste beschränken, sind 
akzeptabel. 

Artikel 23 beinhaltet das von der 
Kommission neu eingebrachte Prinzip 
Datenschutz by design und by default. 
Datenverarbeiter sollen so wenig Daten 
wie möglich verarbeiten und nicht benö- 
tigte Daten so schnell wie möglich lö- 
schen. Dieses Prinzip stärkt den Daten- 
schutz, weil es Datensammlungen auf 
Vorrat unmöglich macht. 
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Der Artikel muss unbedingt folgende 
Punkte enthalten: „state of the art tech- 
nology“, „international best practices“, 
„technical measures“ und „orginisatio- 
nal measures“. Die vom Rat vorgeschla- 
gene „Pseudonymisierung“ muss expli- 
zit aus dem Artikel gestrichen werden, 
weil sie nichts daran ändert, dass private 
Daten erhoben und verarbeitet werden. 


2 Zweckbindung ohne Ausnahmen 
Die Zweckbindung ist essentiell für 
die nachvollziehbare Verarbeitung von 
Daten. Nur mit einer starken Zweckbin- 
dung werden Verbraucher.innen zukünf- 
tig geschützt vor: versteckten Datenban- 
ken, ungewolltem Scoring, Datenhandel 
oder weiteren, heute nicht abschätzba- 
ren Eingriffen in Grundrechte. Artikel 
6.4. muss ersatzlos gestrichen werden. 
Auch Artikel 6, Absatz 3a muss ersatz- 
los gestrichen werden, weil er unzweck- 
mäßige Datenverarbeitung erlaubt. 


3 Profilbildung nur mit expliziter 
Zustimmung 

Das in Artikel 19 geregelte Profiling 
sollte nur durch explizite Zustimmung 
erlaubt werden, weil mit diesen Verfah- 
ren nicht abschätzbare Gefahren für die 
Privatsphäre von Menschen einhergehen. 

Rat und Kommission bieten nur an, 
dass den Ergebnissen eines Profilings 
widersprochen werden kann, bezie- 
hungsweise, dass nur widersprochen 
werden kann, wenn erhebliche Auswir- 
kungen vorliegen. 

Diese Einschränkungen sind inakzep- 
tabel, da jedes Profiling, wie etwa Kauf-, 
Bewegungs- oder Kommunikationspro- 
file genau den Zweck hat, Auswirkungen 
auf das Verhalten von Menschen auszu- 
üben. Die Position des Parlaments (‚the 
data subject shall be informed about the 
right to object to profiling in a highly 
visible manner.‘‘) muss ergänzt werden: 
Wer gegen Profiling widerspricht, darf 
nicht diskriminiert werden, etwa, indem 
der Abschluss eines Vertrags oder die 


Nutzung eines Dienstes verwehrt wird. 


4 Auskunftsrechte immer kostenfrei! 

Artikel 15 regelt Auskunftsrechte und 
ist damit die Basis für das Grundrecht 
auf informationelle Selbstbestimmung. 
Wer seine Auskunftsrechte wahrnehmen 
will, darf auf keinen Fall durch Gebüh- 
ren davon abgehalten werden. Die Ver- 
sion des Rates sieht aber genau das vor 
und schwächt die Auskunftsrechte noch 
weiter: Unter Berufung auf Urheber- 
rechte oder Geschäftsgeheimnisse sol- 
len Auskünfte an Verbraucher.innen ver- 
weigert werden können. Damit könnten 
Anfragen pauschal abgelehnt werden. 

Auskunftsrechte müssen kostenlos 
sein, den vollen Umfang der Daten und 
Datenkategorien umfassen, den Zweck 
und die Dauer der Speicherung sowie 
die Herkunft der Daten beinhalten und 
darüber informieren, welche Daten an 
wen — auch international oder im Rah- 
men von firmeninternen Austauschen — 
weitergegeben wurden. 

Es muss darauf hingewiesen wer- 
den, an welche Aufsichtsbehörde Be- 
schwerden gerichtet werden können 
und eine Kopie der Daten muss - falls 
gewünscht — kostenlos im maschinen- 
lesbaren Format bereit gestellt werden, 
sofern die Daten in einem solchen ge- 
speichert sind. 


5 Datenportabilität ermöglichen 

Artikel 18 regelt die Portabilität von 
Daten und gibt Verbraucher.innen da- 
mit die Möglichkeit Dienste wechseln 
zu können. Das ist Voraussetzung für 
Wettbewerb zwischen Dienst-Anbietern 
und für Nutzer.innen unumgänglich, 
weil es möglich sein muss, zum Beispiel 
Daten aus einem sozialen Netzwerk in 
ein anderes problemlos „umziehen“ zu 
können. Deshalb braucht es Datenporta- 
bilität in einem „electronic format which 
is commonly used, without hindrance 
from the controller from whom the per- 
sonal data are withdrawn.“ 
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Digitale Gesellschaft - Alexander Sander 


Der Datengier gewidmet 


Seit 2012 streitet man auf europäi- 
scher Ebene über die Datenschutzre- 
form, um die bestehende Regulierung 
aus dem Jahr 1995 endlich fit für die 
digitale Gesellschaft zu machen. Doch 
was als ambitioniertes Projekt begann, 
droht in einem Desaster für Verbrauche- 
rinnen und Verbraucher zu enden. Un- 
ternehmen, die mit unseren Daten Mil- 
lionen scheffeln, torpedieren seit Jahren 
durch intensive Lobbybemühungen den 
Gesetzgebungsprozess — offensichtlich 
mit Erfolg. Denn nun setzen sich die 
Mitgliedsstaaten der EU dafür ein, den 
vom EU-Parlament erzielten Kompro- 
miss für mehr Datenschutz bis zur Un- 
kenntlichkeit aufzuweichen. 


Täglich produzieren wir Unmengen 
von Daten, die viel über unser Privat- 
leben aussagen — welche Seiten wir im 
Internet besuchen, wo wir uns gerade 
befinden oder mit wem wir kommuni- 
zieren. Oft sind jedoch nur sehr wenige 
dieser Informationen vonnöten, damit 
Unternehmen einen bestimmten Dienst 
anbieten können. Die Datengier von 
Unternehmen aber ist prinzipiell unbe- 
grenzt, denn mit jeder zusätzlichen In- 
formation lässt sich zusätzliches Geld 
verdienen. Immer mehr Daten werden 
gespeichert und ausgewertet, ohne dass 
Verbraucherinnen und Verbraucher dies 
wissen und wollen. Dieser Praxis sollte 
durch die Reform ein Ende bereitet wer- 
den. Daten sollten nur zu ganz bestimm- 
ten, vorher festgelegten Zwecken erho- 
ben und verarbeitet werden dürfen. An 
diesem Prinzip der „Zweckbindung“ der 
Daten — etwa dass eine Adresse nur zum 
Versand eines Produktes genutzt werden 
darf, nicht aber für Werbung — wird nun 
gerüttelt. 


Nach Ansicht des Rates der Europä- 
ischen Union soll die Zweckbindung 
wegfallen, wenn die Unternehmen oder 
sogar Drittanbieter ein „berechtigtes 
Interesse“ an der Verarbeitung der Da- 
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ten haben und dieses gewichtiger ist 
als die Interessen der Verbraucherinnen 
und Verbraucher. Geht die Abwägung 
zugunsten der Unternehmensinteres- 
sen aus, spielt die Zweckbindung keine 
Rolle mehr. Obendrein sind es stets die 
Datenverarbeiter selbst, die diese Ab- 
wägung vornehmen. Faktisch wie juris- 
tisch fallen damit die Hürden für eine 
uferlose Verwendung der Kundendaten. 
Ohne dass es der Zustimmung von Ver- 
braucherinnen und Verbrauchern oder 
einer Zweckbestimmung bedarf, können 
Unternehmen die Daten nach Belieben 
verarbeiten und weitergeben. Somit ge- 
hen die Informationen auch an Firmen, 
welche die Betroffenen weder kennen, 
noch deren Datenverarbeitungen sie zu- 
gestimmt haben. 


Sollte die Regulierung in dieser Form 
verabschiedet werden, können wir künf- 
tig kaum mehr nachvollziehen, wer un- 
sere Daten zu welchen Zwecken verar- 
beitet. Damit löst sich ein Grundkonzept 
der Datenschutzreform in Luft auf. Der 
Rat leistet so einem klaren Verstoß ge- 
gen das Grundrecht auf informationelle 
Selbstbestimmung und die europäische 
Grundrechtecharta Vorschub. 


Doch nicht nur die Zweckbindung 
steht auf der Kippe, auch das Zustim- 
mungsprinzip soll geschwächt werden: 
Während man sich im EU-Parlament 
auf eine „explizite“ Zustimmung für die 
Datenverarbeitung verständigt hat, will 
der Rat diese aufweichen und durch eine 
„eindeutige“ Zustimmung ersetzen. Mit 
dieser schwammigen Definition wird 
dem Missbrauch Tür und Tor geöffnet. 


Ähnlich verwässern will der Rat auch 
das Prinzip der Datensparsamkeit. Statt, 
wie das EU-Parlament vorgesehen hat, 
Daten nicht über das notwendige Min- 
destmaß hinaus anzuhäufen, schreibt der 
Rat vor, dass Daten „nicht exzessiv“ ge- 
sammelt werden sollen. 


Den Unternehmen wird es so ermög- 
licht, Daten zu beliebigen Zwecken zu 
erheben, zu verarbeiten und an Dritte 
weiterzugeben. Statt robuste Daten- 
schutzregeln festzulegen, die Verbrau- 
cherinnen und Verbraucher ermächti- 
gen, selbstbestimmt die Kontrolle über 
ihre Daten zu erhalten, soll die schier 
unermessliche Gier datenhungriger 
Unternehmen bedingungslos befriedigt 
werden. Statt ein europäisches Modell 
für den Datenschutz zu etablieren, wird 
dem US-amerikanischen Datenmonster- 
Vorbild nachgeeifert. 


Damit die Reform doch noch einen 
echten Datenschutz garantiert, muss das 
EU-Parlament in den den Trilog-Ver- 
handlungen die eigenen Position vertei- 
digen und vor allem dem Rat die Gren- 
zen aufzeigen. Das EU-Parlament muss 
sich gegen die Lobbyinteressen der 
Datenkraken stellen, die derzeitig von 
den Mitgliedstaaten der EU vertreten 
werden, und für eine Datenschutzreform 
kämpfen, die ihren Namen verdient. 
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FIfF e.V. 


Rote Linien 


Nachdem die Datenschutzstandards 
in der Praxis des globalen Datenver- 
kehrs immer mehr aufgeweicht wurden, 
schafft die Datenschutzgrundverord- 
nung die Möglichkeit, bei einem euro- 
päischen Grundrecht in die Offensive zu 
gehen. Das FIfF hat sich in den Diskus- 
sionsprozess mehrfach eingebracht und 
Vorschläge für eine datenschutzfreund- 
lichere Zukunft gemacht. Die letzten 
Entwicklungen um den Entwurf des 
Ministerrates zeigen aber deutlich, dass 
der Wirtschaftslobbyismus funktioniert 
und nicht alle Interesse an einem starken 
europäischen Datenschutz haben. Es ist 
beschämend, dass gerade Deutschland 
mit allein 51 Forderungen den Parla- 
mentsvorschlag beschädigt hat. Die 
gemeinsame Position des Rats der Eu- 
ropäischen Union vom 15. Juni 2015, 
9565/15, überschreitet diverse rote Lini- 
en und fällt hinter die Standards der Da- 
tenschutz-Richtlinie von 1995 zurück. 


Einwilligung 


Bisher tun die Anbieter von Dienstleis- 
tungen im Internet häufig so, als bedeute 
schon die Nutzung eines Dienstes oder 
das Nichthandeln eine stillschweigende 
Einwilligung. In Artikel 7 wollen Par- 
lament und Kommission sicherstellen, 
dass der betroffenen Person im Sinne ei- 
ner informierten Einwilligung bewusst 
ist, dass sie ihre Einwilligung gibt. Eine 
ausdrückliche Handlung möchte der Rat 
vermeiden und fügt im Erwägungsgrund 
25 ein, dass die Einwilligung auf „belie- 
bige“ geeignete Weise und nur „eindeu- 
tig“ statt „ausdrücklich“ erfolgen soll. 
Schon die Einstellungen des Browsers 
oder einer anderen Anwendung sollen 
eine Einwilligung signalisieren können. 

Will eine Person eine Einwilligung 
widerrufen, soll das nach dem Wunsch 
des Europäischen Parlaments so ein- 
fach sein wie das Erteilen der Einwilli- 
gung, als die ja schon der Besuch einer 
Website gesehen werden kann. Diese 
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Forderung im Artikel 7 hat der Rat ge- 
strichen. 

Bei diesem Grundpfeiler des Daten- 
schutzes ist so viel Entgegenkommen 
gegenüber den Datenkraken mit uns 
nicht zu haben! 


Datensparsamkeit 


In Artikel 5 Satz 1 (c) haben Parlament 
und Kommission in wünschenswerter 
Klarheit festgelegt, dass die zu erhe- 
benden personenbezogenen Daten auf 
das für die Zwecke „notwendige“ Maß 
beschränkt sein müssen. Der Rat weicht 
den Zweckbezug zu „verhältnismäßig“ 
auf. An anderer Stelle (Erwägungsgrund 
39) will der Rat die Verhältnismäßig- 
keit den Betreibern von elektronischen 
Kommunikationsnetzen und -diensten 
sowie Anbietern von Sicherheitstechno- 
logien und -diensten erlassen. Dagegen 
verlangt das Europäische Parlament, 
dass die Verarbeitung „für die Gewähr- 
leistung der Netz- und Informationssi- 
cherheit unbedingt notwendig und ver- 
hältnismäßig“ sein muss. 

An vielen Stellen hat der Rat die Vor- 
gaben zur Datensparsamkeit gestrichen, 
die das Parlament eingeführt hat. In Er- 
wägungsgründen 61 und 125 „kann“ sie 
eine Maßnahme sein, in Artikel 23 wird 
sie lediglich als ein Beispiel genannt, 
die Rechte der Betroffenen zu schützen. 
Lobby-Arbeit hat wohl auch dazu ge- 
führt, dass laut Erwägungsgrund 30 per- 
sonenbezogene Daten verarbeitet wer- 
den dürfen, wenn sich der Zweck anders 
nicht „in zumutbarer Weise“ erreichen 
lässt. Schwammiger lässt sich die Da- 
tensparsamkeit kaum dem Ermessen der 
Unternehmen anheim stellen. 

Bei der Verarbeitung personenbezoge- 
ner Daten zu historischen, statistischen 
oder wissenschaftlichen Forschungs- 
zwecken (Erwägungsgrund 125) 
wünscht sich der Rat weitere Register 
mit den Daten großer Bevölkerungsan- 
teile (auch Verstorbener, Erwägungs- 


grund 23). Das sind Sammlungen, die 
wachsende Begehrlichkeiten auf sich 
ziehen werden. 

Datensparsamkeit als Anforderung 
endlich durchsetzbar zu machen, das 
wollen die Minister nicht. Wir bestehen 
auf den Formulierungen des Parlaments! 


Zweckbindung 


Der Entwurf des EU-Rats will es ins 
Ermessen der Unternehmen legen, den 
Zweck einer Verarbeitung nach Belie- 
ben neu zu definieren. Statt dass Daten 
gelöscht werden, wenn sie ihren Zweck 
erfüllt haben, will der Rat in Erwä- 
gungsgrund 40 und Artikel 6 Satz 3a 
(a) eine Zweckänderung erlauben, wenn 
der neue Zweck mit dem ursprünglichen 
Zweck „vereinbar“ ist. 

Im Erwägungsgrund 39 haben die 
Minister zudem die „Verarbeitung per- 
sonenbezogener Daten zum Zwecke der 
Direktwerbung“ als berechtigtes Interes- 
se definiert - Wenn die Grundrechte und 
Grundfreiheiten der betroffenen Person 
überwiegen, soll das zwar ausgeschlos- 
sen sein, informationelle Selbstbestim- 
mung sieht aber anders aus. Betroffene 
können nicht sicher wissen, ob bei der 
Verarbeitung „für nicht konforme Zwe- 
cke aufgrund der berechtigten Interes- 
sen dieses |[...] Verantwortlichen oder 
eines Dritten‘ dessen Interessen über- 
wiegen, was die Verarbeitung rechtmä- 
Big macht (Artikel 6 Satz 4). 

Bei diesem Grundpfeiler des Daten- 
schutzes ist so viel Entgegenkommen 
gegenüber den Datenkraken mit uns 
nicht zu haben! 


Profile 


Als Profiling sieht der Rat erst die 
Nutzung personenbezogener Daten an, 
die verarbeitet wurden, damit eine Per- 
son bewertet oder ihr Verhalten analy- 
siert oder vorhergesagt werden kann 
(Artikel 4 (12a)). Das Parlament defi- 
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niert Profiling bereits über den Zweck, 
wodurch die Rechte der Betroffenen, 
beispielsweise Auskunfts- und Wider- 
spruchsrecht, besser und früher greifen 
können, nicht erst dann, wenn womög- 
lich eine Entscheidung gefallen ist. Der 
Rat hat das Profiling sogar aus dem 
Titel von Abschnitt IV und Artikel 20 
gestrichen, um die automatisierte Ent- 
scheidungsfindung zum Ansatzpunkt für 
die Rechte der Betroffenen zu machen, 
nicht etwa schon das Profiling selbst. Es 
müssen rechtliche Folgen oder eine er- 
hebliche Beeinträchtigung der Betroffe- 
nen vorliegen, bevor ihnen Möglichkei- 
ten zum Widerspruch gegeben werden. 
Wo die Kommission noch von „auf Pro- 
flling basierenden Maßnahmen“ spricht 
und das Parlament vom Profiling selbst, 
macht der Rat die Entscheidungsfindung 
zur Überschrift und das Profiling zur 
Nebensache. 

Automatisierte Entscheidungsfindung 
und Profiling sogar auf der Grundlage 
besonderer Kategorien von personenbe- 
zogenen Daten sollen erlaubt sein, wenn 
eine  Datenschutz-Folgenabschätzung 
stattgefunden hat (Erwägungsgrund 58), 
hier wird Diskriminierung zur Abwä- 
gungsfrage. 

Wir im FIfF e.V. hatten eine Verschär- 
fung der Profiling-Bestimmungen gefor- 
dert, der Rat schwächt sie noch weiter 
ab. So viel Entgegenkommen gegenüber 
den Datenkraken ist mit uns nicht zu ha- 
ben! 


Datenschutz durch Technik und 
Datenschutz-freundliche Voreinstel- 
lungen 


Diese Prinzipien hatte die Kommis- 
sion eingeführt und das Parlament zur 
Freude von Datenschützern zur Pflicht 
gemacht, der Rat hat sie abgeschwächt. 
Er will die Hersteller der Produkte, 
Dienste und Anwendungen lediglich 
„ermutigen“, Datenschutz bei der Ent- 
wicklung der Produkte, Dienste und 
Anwendungen zu berücksichtigen. 
Neben den Verantwortlichen für die 
Datenverarbeitung will das Parlament 
die Hersteller für solche datenschutz- 
freundlichen Produkte verantwortlich 
machen (Erwägungsgrund 61). Der Rat 
hat diese Vorgabe des Parlaments aufge- 
weicht. Das Parlament weist in Artikel 
23 ausdrücklich darauf hin, dass sich 
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Datenschutz durch Technik in der Tech- 
nikfolgen-Abschätzung auf das gesamte 
Lebenszyklus-Management der Verar- 
beitung bezieht. Diesen Hinweis hat der 
Rat ebenso gestrichen wie in Artikel 33 
die Forderung des Parlaments zu doku- 
mentieren, welche Maßnahmen getrof- 
fen wurden (Satz 3 g). 

Wir haben die Neuerungen durch Par- 
lament und Kommission begrüßt und 
hätten sie uns stärker gewünscht. Eine 
Abschwächung als Entgegenkommen 
gegenüber den Datenkraken ist mit uns 
nicht zu haben! 


Unabhängige Kontrollen und Sank- 
tionen 


Entgegen dem Parlamentsbeschluss 
(Artikel 32a und 35) sieht der Rat keine 
Pflicht zur Einführung von Datenschutz- 
beauftragten vor, sie soll nur bestehen, 
wenn das nationale Recht dies vorsieht. 
Andernfalls „kann“ oder „darf“ der Ver- 
antwortliche einen Datenschutzbeauf- 
tragten benennen. Es muss nicht mehr 
sichergestellt sein, dass bei einer Grup- 
pe von Unternehmen der Datenschutz- 
beauftragte von jedem Standort leicht 
zugänglich ist. Auch zur Vertraulich- 
keit über die Identität der betroffenen 
Person sollen Datenschutzbeauftragte 
nicht mehr verpflichtet sein (Artikel 36 
Satz 4). Die vom Parlament geforderte 
Bereitstellung aller benötigten Mittel, 
darunter Personal, will der Rat nicht. In 
Artikel 35 Satz 10 wurde der Rechts- 
anspruch der Betroffenen, den Daten- 
schutzbeauftragten zu Rate zu ziehen, 
abgeschwächt zu: „Betroffene Personen 
können den Datenschutzbeauftragten 
[...] zu Rate ziehen.“ 

Im Artikel 79 haben sich nationale 
Interessen besonders deutlich nieder- 
geschlagen, im vorauseilenden Gehor- 
sam gegenüber den IT-Konzernen. Wo 
das Parlament Klartext redet und eine 
unabhängige Aufsichtsbehörde ermäch- 
tigt, Geldbußen bis zu 5% (im EP-Be- 
schluss) ihres (Konzern-)Umsatzes oder 
einer Milliarde Euro zu verhängen, da 
erteilt der Rat den Mitgliedstaaten die 
Befugnis Gerichtsverfahren anzustren- 
gen. Geldbußen dürfen die Aufsichtsbe- 
hörden selbst nur verhängen, wenn dies 
im nationalen Recht vorgesehen ist (Er- 
wägungsgründe 100, 118b, 120, 120a 
und viele andere). Die Aufsichtsbehörde 


schrumpft zur rein nationalen Angele- 
genheit und ein Staat „kann“ (Artikel 
79 Satz 3b und 5) entscheiden, ob über- 
haupt Geldbußen verhängt werden sol- 
len. Wenn ja, kann die Aufsichtsbehörde 
nur noch maximal 2 % des Umsatzes 
festlegen. Die Mitgliedstaaten setzen 
damit einen der größten Vorteile einer 
europaweiten und durchsetzbaren Ver- 
ordnung außer Kraft. Wir müssen davon 
ausgehen, dass sich große Konzerne 
nun weiterhin ihren Hauptsitz danach 
auswählen werden, wo die geringsten 
Kontrollen und Sanktionen zu befürch- 
ten sind. 

Statt einheitliche Kontroll- und Sank- 
tionsstandards zu schaffen, wollen die 
Minister nationale Standortvorteile be- 
halten. Diese Egoismen zu Lasten des 
Datenschutzes sind mit uns nicht zu ha- 
ben! 


Drittstaaten-Regelung 


Weil Datenschutz in Europa ein ver- 
bindliches Grundrecht mit Verfassungs- 
rang in der EU-Grundrechtecharta ist, 
dürfen personenbezogene Daten grund- 
sätzlich nur innerhalb Europas verar- 
beitet werden. Das scheint nicht zu den 
Interessen von Konzernen zu passen, die 
immer mehr Daten benötigen für ihre 
Geschäfte mit Big Data oder Scoring. Es 
ist ganz im Sinne der IT-Monopolisten, 
als „Big Data“ alles zu speichern, was 
irgendwie verarbeitet werden kann. Re- 
gelungen aus der Parlamentsvorlage für 
die Übertragung von Daten in Drittstaa- 
ten (Nicht-EU-Staaten) hat der EU-Rat 
durchlöchert. Zu Recht sieht er vermut- 
lich die Freihandelsabkommen TTIP 
und TiSA dadurch gefährdet. Insbeson- 
dere die regulatorische Zusammenarbeit 
wird fatale Folgen für die informationel- 
le Selbstbestimmung und den Grund- 
rechtsschutz in der EU haben. 


Eine Aufweichung der Drittstaaten- 
Regelung als Entgegenkommen gegen- 
über den Datenkraken ist mit uns nicht 
zu haben! 
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GDD 


Keine EU-Datenschutz-Grundverordnung ohne den 
Datenschutzbeauftragten 


1. Einleitung 


Das Treffen der Justiz- und Innenmi- 
nister im Juni diesen Jahres bestätig- 
te das, was sich in den Verhandlungen 
im Rat der Europäischen Union über 
die letzten drei Jahre hinsichtlich ei- 
ner EU-Datenschutz-Grundverordnung 
(EU-DS-GVO) bereits angedeutet hatte: 
Verantwortliche Stellen und Auftrags- 
verarbeiter sollen nicht dazu verpflichtet 
werden, einen Datenschutzbeauftragten 
zu bestellen. Verwundern mag dieser zu 
Kommission’ und Europäischem Par- 
lament? konträre Standpunkt auf den 
ersten Blick nicht. Denn neben Deutsch- 
land sehen nur wenige Mitgliedstaaten’ 
in ihren nationalen Gesetzen bis dato die 
vorgeschriebene Bestellung eines Da- 
tenschutzbeauftragten für nicht-öffentli- 
che Stellen vor. 


2. Bestellpflicht des Datenschutzbe- 
auftragten 


Nach Art. 35 Abs. 1 des Ratsentwurfs 
kann — bzw. sofern im Unionsrecht oder 
im nationalen Recht vorgesehen, muss — 
der für die Verarbeitung Verantwortliche 
oder der Auftragsverarbeiter einen Daten- 
schutzbeauftragten benennen. Diese Öff- 
nungsklausel soll es Mitgliedstaaten er- 
möglichen, über eigene nationalstaatliche 
Regelungen am Institut des Datenschutz- 
beauftragten festzuhalten. Diese Vorge- 
hensweise läuft einerseits einem Harmo- 
nisierungsgedanken zuwider, andererseits 
bringt er auch negative Auswirkungen 
gerade für datenverarbeitende Stellen mit 
sich. Bei einem Verzicht auf den Daten- 
schutzbeauftragten würde nicht nur eine 
unabhängige interne Compliance-Instanz 
zum Datenschutz fehlen, sondern auch 
eine Person, die im Hinblick auf die 
personenbezogene Datenverarbeitung 
als Anwalt der Betroffenen agiert. Fer- 
ner ist zu befürchten, dass Unternehmen 
wie Behörden in Ermangelung einer in- 
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ternen Compliance-Instanz zum Thema 
„Datenschutz“ nur unzureichend die da- 
tenschutzrechtlichen Anforderungen bei 
der Verarbeitung von Daten Betroffener 
beachten. Darüber hinaus ist der Wegfall 
des Datenschutzbeauftragten auch unter 
Wirtschaftlichkeitsgesichtspunkten we- 
nig sinnvoll. So müssten sich zur Befol- 
gung der geplanten EU-Verordnung die 
Fachabteilungen in Behörden und Un- 
ternehmen die notwendigen datenschutz- 
rechtlichen Kenntnisse selber aneignen, 
die bisher beim Datenschutzbeauftragten 
gebündelt waren, mit der Folge, dass er- 
hebliche Synergieeffekte verloren gingen. 
Insofern ist der betriebliche Datenschutz- 
beauftragte ein wesentliches Element zur 
Entbürokratisierung der Datenschutzor- 
ganisation und -kontrolle. 

Sollte sich der Ratsentwurf mit einer 
nationalen Öffnungsklausel trotz der 
aufgezeigten negativen Auswirkungen 
durchsetzen, weist die GDD darauf hin, 
dass eine Abkehr von einer obligatori- 
schen Bestellung des behördlichen und 
betrieblichen Datenschutzbeauftragten 
nicht ohne die Schaffung von gesetz- 
lichen Anreizen für dessen freiwillige 
Bestellung erfolgen darf. Am Institut des 
Datenschutzbeauftragten, als elementare 
Säule einer betrieblichen Selbstkontrol- 
le*, ist auch unter einem einheitlichen eu- 
ropäischen Gesetzesrahmen festzuhalten. 


3 Gesetzliche Anreize in einer EU- 
DS-GVO 


Der durch die GDD mitgegründete 
europäische Datenschutz-Dachverband 
„Confederation of Data Protection Or- 
ganisations“ (CEDPO) hat in seinem Po- 
sitionspapier aus dem Jahre 2013 „Im- 
prove the protection of (our/your) data: 
6 incentives for appointment of DPOs“ 
bereits auf mögliche Anreize für die Be- 
stellung eines Datenschutzbeauftragten, 
die nicht ausschließlich auf gesetzlicher 
Basis ruhen, hingewiesen. Die GDD 


möchte die jüngsten Entwicklungen 
zum Anlass nehmen, auf einzelne dieser 
Anreize und deren Verankerung in einer 
EU-DS-GVO nochmals hinzuweisen. 


Datenschutz-Folgenabschätzung und 
vorherige Zurateziehung (Art. 33 
und 34 EU-DS-GVO) 


Wie es auch das europäische Parla- 
ment in seiner legislativen Entschlie- 
Bung bereits vorgesehen hat‘, sollten 
Fragen einer verantwortlichen Stelle 
nach der Vereinbarkeit einer Verarbei- 
tung personenbezogener Daten mit der 
EU-DS-GVO zunächst mit dem Daten- 
schutzbeauftragten - falls durch das Un- 
ternehmen bestellt — als sachkundiger 
innerbetrieblicher Anlaufstelle geklärt 
werden können, bevor eine Hinzuzie- 
hung der zuständigen Aufsichtsbehörde 
erfolgt. Dies sollte bereits in der für risi- 
kobehaftete Verarbeitungsvorgänge vor- 
gesehenen Datenschutz-Folgenabschät- 
zung ausdrücklich normiert sein. Die 
seitens des Rats gewünschte beratende 
Funktion des Datenschutzbeauftragten 
(vgl. Art. 37 Abs. 1 (f)) reicht hierfür 
nicht aus, zumal die Entscheidung über 
die Konsultation der Aufsichtsbehörde 
letzten Endes der verantwortlichen Stel- 
le übertragen wird, obwohl in Person 
des Datenschutzbeauftragten eine fach- 
kundige Instanz bereits vorhanden wäre. 
Seine aktive Einbeziehung würde zur 
Entbürokratisierung von Datenschutzor- 
ganisation und -kontrolle beitragen. Be- 
troffene würden von der Zurateziehung 
ebenfalls profitieren, da der Beauftrag- 
te die unternehmensinternen Abläufe 
kennt und entsprechend eine passgenaue 
Einschätzung äußern kann. 


Sicherheitsvorfall (Art. 31 EU-DS- 
GVO) 


Der Ratsentwurfsieht in Art. 31 Abs. 1 
eine Informationspflicht der Aufsichts- 
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behörden ım Falle der Verletzung des 
Schutzes personenbezogener Daten 
vor, sollte diese ein hohes Risiko für 
die persönlichen Rechte und Freihei- 
ten von Betroffenen zur Folge haben. 
Die Europäische Kommission und das 
Parlament möchten gar, dass die Auf- 
sichtsbehörden bei jeglicher Verletzung 
des Schutzes personenbezogener Daten 
informiert werden.” Um zu gewährleis- 
ten, dass Aufsichtsbehörden sich auch 
weiterhin ihren Kernaktivitäten in Ge- 
stalt der Beratung, Untersuchung und 
Kontrolle widmen können, sollten Da- 
tenschutzverstöße geringeren Umfangs, 
so beispielsweise der Verlust einer ge- 
ringen Anzahl von Stammdatensätzen, 
ausschließlich durch den Filter des Da- 
tenschutzbeauftragten laufen können, 
damit dieser mögliche nachteilige Aus- 
wirkungen für die Rechte und Interes- 
sen Betroffener analysieren kann. Eine 
Information der Aufsichtsbehörde soll 
dann unterbleiben können, wenn der 
Datenschutzbeauftragte die Rechte und 
Interessen Betroffener unter Einhaltung 
der in Art. 31 vorgesehenen Maßnahmen 
als nicht weiter gefährdet sieht. Durch 
die zwingend vorgeschriebenen Doku- 
mentationspflichten im Falle eines auf- 
getretenen Sicherheitsvorfalls ist es den 
Aufsichtsbehörden jederzeit möglich 
zu prüfen, ob und unter welchen Para- 
metern die Untersuchung eines Vorfalls 
von statten gegangen ist und welche 
Maßnahmen hieraus abgeleitet wurden. 


Zertifizierung (Art. 39 EU-DS-GVO) 


Bestrebungen zur Stärkung daten- 
schutzrechtlicher Gütesiegelverfahren 
sind bei allen Beteiligten des Trilogs 
erkennbar. Die Bestellung eines Daten- 
schutzbeauftragten, der die Einhaltung 
der Vorgaben und Anforderungen einer 
EU-DS-GVO sicherstellt, sollte als Kri- 


terium für besondere organisatorische 
Vorkehrungen in entsprechende Ver- 
fahren aufgenommen werden und die 
Vergabe eines höherrangigen Zertifikats 
ermöglichen. In Vorbereitung einer Sie- 
gelerlangung kann der Datenschutzbe- 
auftragte durch seine Fachkunde die 
verantwortliche Stelle über angemesse- 
ne technisch-organisatorische Maßnah- 
men im Sinne der EU-DS-GVO beraten 
und damit die Erlangung eines Gütesie- 
gels beschleunigen. 


Verwaltungsrechtliche Sanktionen 
(Art. 79 EU-DS-GVO) 


Aufsichtsbehörden sollen nach Art. 79 
der Entwürfe von Parlament und Kom- 
mission bzw. ergänzend nach Art. 79a 
des Ratsentwurfs befugt sein, verwal- 
tungsrechtlichen Sanktionen zu verhän- 
gen. Diese müssen in jedem Einzelfall 
wirksam, verhältnismäßig und abschre- 
ckend sein. Das Vorhandensein eines Da- 
tenschutzbeauftragten, als Zeichen dafür, 
dass Unternehmen den Schutz personen- 
bezogener Daten ernst nehmen, sollte 
sich bei der Verhängung von Sanktionen 
bußgeldmildernd auswirken können. 
Immerhin hat die verantwortliche Stelle 
vorab bei der Verarbeitung personenbe- 
zogener Daten eine interne Kontrollins- 
tanz um deren Einschätzung bemüht und 
sich entsprechenden fachlichen Rat ein- 
geholt. Dies sollte bei der Verhältnismä- 
Bigkeit der Sanktionsmaßnahme entspre- 
chend berücksichtigt werden können, 
vorausgesetzt die verantwortliche Stelle 
hat sich auch an der Empfehlung des Da- 
tenschutzbeauftragten orientiert. 


4. Schlussbemerkungen 


Die Beteiligten des Trilogs für eine 
EU-DS-GVO haben weiterhin die ein- 
malige Gelegenheit, dem Datenschutz- 


beauftragten als Modell einer betrieb- 
lichen bzw. behördlichen Selbstkont- 
rolle eine europäische Dimension auf 
gesetzlicher Grundlage zu verleihen. 
Gründe hierfür wurden bereits zur Ge- 
nüge genannt. Doch selbst bei einer Ab- 
kehr von der Bestellpflicht hat der eu- 
ropäische Gesetzgeber noch genügend 
Möglichkeiten, im Rahmen des Trilogs 
Unternehmen wie Behörden bedeutende 
Anreize für eine freiwillige Bestellung 
zu bieten. Nur so kann gewährleistet 
werden, dass das Erfolgsmodell des Da- 
tenschutzbeauftragten auch unter einem 
neuen Gesetzesrahmen seine Bedeutung 
behält. 


1 Vgl. Art. 35 Abs. 1 KOM(2012) 11 end- 
gültig. 


2 Vgl. Art. 35 Abs. 1 der legislativen 
Entschließung des Parlaments, ab- 
rufbar unter http://www.europarl. 
europa.eu/sides/getDoc.do?pubRef=-// 
EP//TEXT+TA+P7-TA-2014- 
0212+0+DOC+XML+VO0//DE. 


3 So bspw. Polen und die Slowakei. 


4 Hierzu bereits die Stellungnahme der 
Gesellschaft für Datenschutz und Da- 
tensicherheit (GDD) e.V. zum Vorschlag 
für eine EU-Datenschutz-Grundver- 
ordnung (DS-GVO-E) vom 25.01.2012 
(KOM(2012) 11 endgültig) hinsichtlich 
der Auswirkungen auf die Privatwirt- 
schaft. abrufbar unter https://www.gdd. 
de/aktuelles/news/stellungnahme-der- 
gdd-zum-vorschlag-fur-eine-eu-daten- 
schutz-grundverordnung-ds-gvo-e. 


5 Abrufbar unter www.cedpo.eu. 
6 Art. 34 Abs. 2 DS-GVO-E Parlament. 


7 Kritisch hierzu bereits Stellungnahme 
der Gesellschaft für Datenschutz und Da- 
tensicherheit (GDD) e.V. zum Vorschlag 
für eine EU-Datenschutz-Grundverord- 
nung a.a.O., Il. 14. 
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Konferenz der Datenschutzbeauftragten des Bundes und der Länder 


Michael Ronellenfitsch / Angelika Schriever-Steinberg / Nina Berg 


Datenschutzrechtliche Kernpunkte für die 
Trilogverhandlungen zur Datenschutz- 


Grundverordnung 


Die Konferenz der Datenschutzbeauf- 
tragten des Bundes und der Länder hat 
sich seit der Präsentation der Vorschläge 
durch die Kommission im Januar 2012 
mehrfach öffentlich zur Datenschutzre- 
form positioniert. Die folgende Zusam- 
menfassung enthält einige der wichtigs- 
ten Themen, denen sich nach Ansicht 
der Konferenz der Datenschutzbeauf- 
tragten des Bundes und der Länder die 
am Trilog teilnehmenden Parteien ins- 
besondere widmen sollten: 


1. Keine Beschränkung des Anwen- 
dungsbereichs der Datenschutz- 
Grundverordnung 


Die Beschränkung des Anwendungsbe- 
reichs der DSGVO zugunsten der JI Richt- 
linie sollte rückgängig gemacht werden. 
Die Datenverarbeitung der Ordnungsver- 
waltung und zur Gefahrenabwehr sollte 
von der DSGVO geregelt werden. 

Aus dem Anwendungsbereich der DS- 
GVO sollten nur solche Verarbeitungs- 
vorgänge herausgenommen werden und 
damit ungeregelt bleiben, die sich aus- 
schließlich auf persönliche und familiä- 
re Tätigkeiten beziehen. 


2. Datensparsamkeit muss Gestal- 
tungsziel bleiben 


Für eine möglichst grundrechtsscho- 
nende Datenverarbeitung ist es unab- 
dingbar, dass sich Staat und Wirtschaft 
auf das zur Erreichung ihrer rechtlichen 
oder legitimen Zwecke notwendige 
Maß beschränken. Die allgegenwärtige 
Datenverarbeitung und der Einsatz von 
Big-Data-Technologien erzeugen eine 
unvorstellbare Menge an (auch personen- 
bezogenen) Daten. Dies führt zu einer für 
viele als diffus bedrohlich empfundenen 
Situation, da auf diese Weise Unterneh- 
men oder Behörden potentiell in der Lage 
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sind, über jeden Einzelnen Informationen 
aus sämtlichen Lebensbereichen zu erfas- 
sen und beliebig auszuwerten. Deshalb 
ist das Prinzip von Datenvermeidung und 
Datensparsamkeit, das seit vielen Jahren 
im deutschen Datenschutzrecht verankert 
ist, wichtiger denn je. 

Das Prinzip der Datensparsamkeit 
ist deshalb wie von Kommission und 
Parlament vorgesehen (Art. 5 Abs. I c) 
DSGVO) und leider vom Rat gestrichen 
ausdrücklich in der DSGVO zu veran- 
kern. 


3. Keine Aufweichung der Zweckbin- 
dung 


Die Zweckbindung ist seit jeher ei- 
nes der zentralen Prinzipien des Daten- 
schutzrechts. Sie dient der Transparenz 
und Vorhersehbarkeit der Verarbeitung 
personenbezogener Daten und stärkt da- 
mit die Autonomie der Betroffenen. An- 
gesichts der Unsichtbarkeit und des Um- 
fangs der Datenverarbeitung muss sich 
der Betroffene darauf verlassen können, 
dass seine personenbezogenen Daten 
grundsätzlich nur zu den Zwecken wei- 
terverarbeitet werden, zu denen sie er- 
hoben worden sind. Art. 8 Abs. 2 der Eu- 
ropäischen Grundrechtecharta hat daher 
die Zweckbindung als tragendes Prinzip 
des Datenschutzes verankert. Durch die 
Formulierungen der Kommission und 
des Rats werden Zweckänderungen in 
einem derart weiten Umfang zulässig, 
dass das für den Datenschutz elementare 
Prinzip der Zweckbindung preisgegeben 
wird. Es sollte deshalb dem Vorschlag 
des Parlaments gefolgt werden, der die- 
se Zweckänderungen nicht vorsieht. 


4. Die Einwilligung muss die Daten- 
hoheit des Einzelnen sichern 


Die Einwilligung ist ein wesentliches 


Element, um die Autonomie des Einzel- 
nen hinsichtlich der Verarbeitung seiner 
personenbezogenen Daten wirksam zu 
sichern. Sie ist deshalb in Art. 8 Abs. 2 
der EU-Grundrechtecharta ausdrücklich 
als Legitimation für die Verarbeitung 
personenbezogener Daten genannt. 

Kommission und Parlament haben 
sich im Bewusstsein dieser Bedeutung 
dafür entschieden, dass eine Einwilli- 
gung nur dann wirksam sein soll, wenn 
sie ausdrücklich erfolgt. Der Rat ver- 
abschiedet sich von diesem Grundsatz, 
indem er bereits eine eindeutige und 
damit auch nur konkludente Willensbe- 
kundung ausreichen lässt. Damit wird 
es insbesondere den global agierenden 
Diensteanbietern ermöglicht, durch die 
Verwendung pauschaler Datenschutz- 
bestimmungen und datenschutzun- 
freundlicher Voreinstellungen weitrei- 
chende Datenverarbeitungsbefugnisse 
ohne eine ausdrückliche Einwilligung 
des Nutzers für sich zu reklamieren. Es 
muss deshalb dabei bleiben, dass eine 
Einwilligung nur dann die Verarbeitung 
personenbezogener Daten legitimieren 
kann, wenn sie ausdrücklich abgegeben 
wird. 


5. Rechte der Betroffenen 


Die Information der Betroffenen (Art. 
14, 14a DSGVO) versetzt diese in die 
Lage, Umfang und Risiko der Datenver- 
arbeitung einzuschätzen. Sie ist die we- 
sentliche Bedingung für die Schaffung 
von Transparenz. Der Umfang dieser 
Informationen dürfen nicht — wie vom 
Rat vorgesehen - eingeschränkt werden. 

Es sollte unmissverständlich klarge- 
stellt werden, dass die Ausübung der 
Betroffenenrechte und deren Umset- 
zung unentgeltlich ist. 

Die bisherigen Vorschläge von Kom- 
mission, Parlament und Rat für eine 
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Regelung von Profilbildungen (Art. 20 
DSGVO) sind nicht geeignet, um die 
Bürgerinnen und Bürger im Zeitalter 
von Big Data, der Allgegenwart des 
Internets der Dinge und der in alle Le- 
bens-, Privat- und Intimbereiche wie die 
Gesundheit vordringenden Technologi- 
en zur individuellen Datenerfassung und 
-analyse effektiv vor der Erstellung und 
Nutzung von Persönlichkeitsprofilen zu 
schützen. 

Keiner der Vorschläge unterwirft die 
Profilbildung an sich besonderen Zu- 
lässigkeitsvoraussetzungen sondern erst 
das Treffen einer „automatisierten Ent- 
scheidung“ oder einer „Maßnahme“ auf 
Basis des Profilings. Nicht geregelt wird 
die grundlegende Frage, zu welchen 
Zwecken und innerhalb welcher Gren- 
zen Persönlichkeitsprofile überhaupt er- 
stellt und genutzt werden dürfen. Zudem 
beinhaltet dieser Ansatz in der Praxis ein 
erhebliches Interpretations- und Umge- 
hungspotenzial im Hinblick auf Dienste 
oder Anwendungen, die keine unmittel- 
baren Rechtswirkungen gegenüber dem 
Betroffenen entfalten, wie die Analyse 
des Nutzerverhaltens im Internet, die 
Analyse persönlicher Vorlieben durch 
ein soziales Netzwerk, die Analyse von 
Bewegungsdaten oder die Analyse der 
Körperaktivität mittels Apps und Sen- 
soren. 

Anzustreben ist eine substanzielle 
Verbesserung der Regelung der Profil- 
bildung und -nutzung, die folgende Ker- 
nelemente beinhalten sollte: 


° Statt der Verkürzung auf automati- 
sierte Einzelfallentscheidungen ist 
ein Ansatz zu wählen, der sämtliche 
Profilbildungen oder darauf basie- 
rende Maßnahmen erfasst. 


«e Ausnahmen vom Verbot der Profil- 
bildung bedürfen eng begrenzter kla- 
rer Erlaubnistatbestände. Besondere 
Kategorien personenbezogener Da- 
ten dürfen wegen ihrer hohen Sen- 
sitivität nicht in eine Profilbildung 
einfließen. 


In jedem Fall sollte die Verarbeitung 
personenbezogener Daten zu Zwe- 
cken des Profilings stets mit einem 
Höchstmaß an Transparenz und In- 
formiertheit des Betroffenen ein- 
hergehen. Der Einzelne muss hierzu 
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seine ausdrückliche Einwilligung er- 
teilen. 


Zudem sollte eine Verpflichtung zu 
frühestmöglicher Anonymisierung 
oder Pseudonymisierung der für die 
Profilbildung und -auswertung ver- 
wendeten Daten bestehen. 


6. Guter Datenschutz braucht be- 
triebliche und behördliche Daten- 
schutzbeauftragte 


Es ist zu begrüßen, dass sowohl 
Kommission als auch Parlament (Art. 
35 DSGVO) - anders als der Rat — 
die verpflichtende Bestellung interner 
Datenschutzbeauftragter vorsehen. 
Während es für Behörden keine Aus- 
nahmen geben sollte, sollten Unter- 
nehmen nicht nur ab einer bestimmten 
Größe oder einer bestimmten Zahl Be- 
troffener einen Datenschutzbeauftrag- 
ten bestellen, sondern in jedem Falle 
auch dann, wenn die Datenverarbei- 
tung mit besonderen Risiken für die 
Rechte und Freiheiten der Betroffenen 
verbunden ist. 


7. Mehr Kontrolle über Datenüber- 
mittlungen an Behörden und Ge- 
richte in Drittstaaten 


Seit den Enthüllungen von Edward 
Snowden wird über einen besseren 
Schutz der personenbezogenen Da- 
ten von europäischen Bürgerinnen 
und Bürgern gegenüber Behörden 
und Stellen aus Drittstaaten disku- 
tiert. Deshalb hat das Parlament einen 
spezifischen Art. 43a DSGVO vorge- 
schlagen, der vom Rat leider gestri- 
chen wurde. Dieser stellt klar, dass 
Urteile von Gerichten und Entschei- 
dungen von Verwaltungsbehörden 
eines Drittstaats, die die Weitergabe 
personenbezogener Daten an diesen 
verlangen, in der EU nur unter be- 
sonderen Voraussetzungen durchge- 
setzt werden können. Eine derartige 
Regelung könnte in einem gewissen 
Umfang Transparenz über das Aus- 
maß der Überwachung durch Geheim- 
dienste herstellen, zur Wahrung der 
Verhältnismäßigkeit beitragen, Anrei- 
ze zur Verabschiedung internationaler 
Übereinkommen schaffen und sollte 
deshalb getroffen werden. 


8. Für eine effektive und bürgernahe 
Zusammenarbeit der Datenschutz- 
behörden in Europa 


Ein entscheidender Fortschritt der 
Datenschutz-Grundverordnung soll in 
einer verbesserten Zusammenarbeit der 
Datenschutzbehörden in Europa liegen. 
Auf Vorschlag des Rats soll es eine fe- 
derführende Datenschutzbehörde geben, 
die einem Unternehmen am Ort seiner 
Hauptniederlassung als hauptsächli- 
cher Ansprechpartner zur Verfügung 
steht, aber auch mit allen anderen — sei 
es aufgrund weiterer Niederlassungen 
oder der Betroffenheit ihrer Bürger — 
betroffenen Aufsichtsbehörden koope- 
riert. Weiterhin hat der Rat Vorschläge 
zu einem sog. One-Stop-Shop gemacht, 
sodass Betroffene sich an die Aufsichts- 
behörde und die Gerichte bei ihnen vor 
Ort wenden können. Um zu verbindli- 
chen Entscheidungen ohne Beteiligung 
der Kommission zu kommen, schlägt 
der Rat darüber hinaus vor, den Euro- 
päischen Datenschutzausschuss mit ver- 
bindlichen Entscheidungsbefugnissen 
auszustatten. Hierzu ist der Ausschuss 
mit eigener Rechtspersönlichkeit auszu- 
statten. 

Die Ziele des Ratsvorschlags zum 
sog. One-Stop-Shop-Mechanismus sind 
zu unterstützen. Der effiziente Vollzug 
des Datenschutzrechts darf jedoch nicht 
durch die Untätigkeit der federführen- 
den Datenschutzbehörde unterlaufen 
werden. Es ist eine Regelung zu schaf- 
fen, wonach die mitgliedstaatlichen Auf- 
sichtsbehörden bei Betroffenheit ihrer 
Bürger von der federführenden Behörde 
ein aufsichtsbehördliches Einschreiten 
verlangen können, dessen Ablehnung zu 
einer unmittelbaren Überprüfung durch 
den Europäischen Datenschutzaus- 
schuss führt. Darüber hinaus sind prak- 
tikable Verfahrensregeln festzulegen, 
insbesondere was die Frage der Verfah- 
rensfristen und der Amtshilfe der Auf- 
sichtsbehörden untereinander betrifft. 


Autoren dieses Beitrages sind: 
Prof. Dr. Michael Ronellenfitsch 
Angelika Schriever-Steinberg 
Nina Berg 
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Douwe Korff ' 


Privacy seals in the new EU General Data 
Protection Regulation: Threat or facilitator? ! 


In 2008, the European Commission 
helped to establish the currently main 
scheme offering European privacy- or 
data protection seals (certifications), Eu- 
roPriSe, under an “TEN” programme. 
The Commission’s draft of the General 
Data Protection Regulation (hereafter: 
“the Regulation”), made public in Ja- 
nuary 2012, requires the Commission 
itself and the Member States to further 
“encourage” the establishment of such 
schemes, “in particular at European le- 
vel” (Art. 39). 

However, EuroPriSe has had only li- 
mited success, mainly because it (rightly) 
sets very high standards and is thus very 
demanding of seal applicants in terms 
of time and effort and costs — yet under 
the current 1995 EC Data Protection 
Directive, it cannot offer any concrete 
legal advantages to those meeting those 
standards. It is also seriousiy hampered 
by the lack of harmonisation under the 
directive: it can provide an authoritative 
(albeit non-legally-binding) confirmation 
of compliance with the rules in the EC 
directives (the 1995 Directive, the 2002 
e-Privacy Directive and the [now invali- 
dated] Data Retention Directive), but not 
of compliance with the dozens of natio- 
nal laws implementing those laws. It is 
therefore really only attractive to compa- 
nies that want to make privacy- and data 
protection compliance a major “unique 
selling point” for their products and servi- 
ces. Regrettably, those are scarce. It is no- 
table that the much more geographically 
limited privacy seal in the small German 
state of Schleswig-Holstein, which under 
the local state (Landes-) data protection 
law does offer concrete advantages, in 
particular in relation to public procure- 
ment, has attracted more seal applica- 
tions than the in principle pan-EU/EEA 
EuroPriSe scheme. 

Although the Regulation will lead 
to much greater harmonisation, and in 
particular contains a “consistency me- 
chanism” as discussed below, this alone 
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will not, in my opinion, lead to a major 
increase in seal applications. For that, 
stronger incentives are crucial. 

I therefore welcomed the European 
Parliament proposals to give data pro- 
tection seals (“certifications”) a much 
stronger role — subject to crucial condi- 
tions. Specifically, its amended draft of 
Article 26(3a) of the Regulation stipu- 
lates expressly (with cross-reference to 
Art. 26(1)) that “certification mecha- 
nisms” can in and by themselves “de- 
monstrate” that a processor: 


provid[es] sufficient guarantees to im- 
plement appropriate technical and or- 
ganisational measures and procedures 
in such a way that the processing will 
meet the requirements of this Regula- 
tion and ensure the protection of the 
rights of the data subject ... - 


and its amended draft of Article 42 si- 
milarly stipulates that “a valid “Euro- 
pean Data Protection Seal’”” can in and 
by itself “demonstrate” that a controller 
has adopted “appropriate safeguards” to 
allow data to be transferred to a “third” 
(i.e., non-EU/EEA) country that does 
not itself provide “adequate safeguards” 
in its laws (provided the seal applies 
both to the controller and to the inten- 
ded recipient(s) in the third country) (EP 
Amendment 138). 

In practice, seals could also serve to 
show compliance with other, more gene- 
ral requirements that, under the Regula- 
tion, in future will need to be “demonst- 
rated” (cf., e.g., Articles 19, 32, 33, etc.) 

These would be very significant ad- 
vantages to seal holders. In particular, 
European privacy seals that would al- 
low data transfers (also) to the USA, 
and to processors in the USA (such as 
U.S. “Cloud” providers), could come to 
replace the discredited “Safe Harbor” 
regime, rightly condemned by the Eu- 
ropean Parliament and under review by 
the Commission. 


However, if seals were indeed to be 
endowed with such considerable legal 
effects, they would have to be based 
on the application of very high stan- 
dards — and those standards would 
have to be applied consistently in all 
schemes established under Article 39 
of the Regulation, and at least impli- 
eitly endorsed by all DPAs and the 
newly-to-be-established European 
Data Protection Board (EDPB). 

In my opinion — and in the opinion of 
civil society! — this means two things: 


« seals that have legal effects such as 
noted above (i.e., which “demonstra- 
te” compliance with important requi- 
rements of the Regulation, not least 
the rules on data transfers) should be 
issued by an official data protection 
authority (“supervisory authority” in 
the terminology of the Regulation); 
AND 

such seals should be subject to the 
“consistency mechanism” envisaged 
in the Regulation, under which many 
“measures” taken by any DPA which 
are “intended to produce legal ef- 
fects”” can be challenged by any other 
DPA and brought to the new European 
Data Protection Board (composed of 
representatives of all EU/EEA DPAs) 
— which could decide, at the European 
level, whether the proposed measure 
(in casu: the issuing ofa seal) should or 
should not go ahead. This consistency 
mechanism will apply, inter alia, to 


processing activities which are re- 
lated to the offering of goods or 
services to data subjects in several 
Member States, or to the monito- 
ring of their behaviour [typically, in 
relation to only activity by the data 
subjects] 


As the above already makes clear, the 


two are interlinked, in that the consisten- 
cy mechanism applies whenever a DPA 
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wishes to adopt measures with legal 
effects that also affect data subjects in 
other Member States. 

The European Parliament text achie- 
ves the above, by (i) stipulating that 
seals (certifications) must be issued by a 
DPA (Art. 39(1a) in the EP draft); (ii) as 
noted above, giving seals important le- 
gal effects; and (iii) thus, automatically, 
making the issuing of seals relating to 
processing of personal data in more than 
one Member State or online subject to 
the consistency mechanism. 

However, the last Council version of 
the Regulation, agreed just before the 
summer break, would fatally undermine 
the above. In particular, it allows Mem- 
ber States to “outsource” the issuing of 
seals to “accredited” organisations. Alt- 
hough organisations could only be ac- 
credited ifthey met certain standards set 
at EU level, crucially the seals they is- 
sued would not need to be formally en- 
dorsed by the relevant DPA (See Art. 39 
in the latest Council text). This in turn 
would mean that the issuing of a seal 
would not constitute a “measure with le- 
gal effect”, taken by a DPA - and would 
thus also not be subject to the consis- 
tency mechanism. Interestingly, precise- 
ly such an “outsourced” data protection 
seal system is being planned by the UK 
DPA, the Information Commissioner’s 
Office, for later in 2015 or early-2016. 

Yet although data protection seals is- 
sued under the Council text would not 
be subject to the consistency mecha- 
nism, they would, under that text, still be 
given at least some of the legal advan- 
tages envisaged in the European Parlia- 
ment text - if anything in more emphatic 
terms. In particular, in the Council ver- 
sion, a controller can provide “approp- 
riate safeguards” for a transfer of data 
to a third country without adequate pro- 
tection “without requiring any specific 
authorisation from a supervisory au- 
thority”, by means, inter alia of: 

an approved certification mechanism 

pursuant to Article 39 

(Art. 42 Council text) 


Although the Council text does require 
that such seals be accompanied by: 


enforceable commitments of the cont- 


roller or processor in the third country 
to apply the appropriate safeguards, 
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including as regards data subjects’ 
rights — 


these “enforceable commitments” 
would, of course, only relate to the com- 
mitments required under the relevant 
seal — which some other DPAs might 
find insufficient. However, since under 
this text the seal would not be issued by 
a DPA, and thus does not constitute a 
“measure with legal effects” on the part 
of the DPA, the appropriateness of the 
awarding of the seal itself (and the ade- 
quacy or otherwise of any such require- 
ments and “commitments” as may — or 
may not — be specified in the seal) could 
not be challenged by any other DPA. 

In my opinion — and in the opinion 
of eivil society — this Couneil proposal 
amounts to the rolling in of a massive 
Trojan Horse into the new EU data 
protection regime. 

It would allow transfers of perso- 
nal data — including highly sensitive 
personal data - from the EU/EEA to 
the USA and other “third” countries 
that do not provide “adequate pro- 
tection” (including to “Cloud” provi- 
ders in such countries), from an EU/ 
EEA country with an “outsourced” 
data protection seal system (such as is 
planned in the UK), without the data 
protection authorities in any other 
EU/EEA country being able to chal- 
lenge the transfers. 

It would moreover encourage a 
“race to the bottom” for seal providers 
keen to attract major international — 
and in particular U.S. - applicants for 
their seals. The easier their seals could 
be obtained, the more attractive they 
would be to non-EU/EEA controllers 
and processors. 


This is unacceptable. 


In simple terms: there is a choice of 
systems: 


either the Regulation allows for “out- 
sourced” European data protection 
seals — but without such seals con- 
ferring any real legal benefits on seal 
holders (which would not make them 
much more attractive then the current 
EuroPriSe seals), 

OR 

the Regulation facilitates the estab- 


lishment of strong European data pro- 
tection seal schemes, at national and/ 
or European level (and they could be 
sectoral too), with those seals confer- 
ring real legal benefits to seal holders, 
in particular by allowing them, wit- 
hout further ado, to operate as a “pro- 
cessor” and/or to transfer data to third 
countries without adequate protection 
— but only if the seals were, if not 
actually issued by, at least formally 
endorsed by a national DPA, meaning 
that they would constitute “measures 
with legal effects” of the DPA in ques- 
tion, and that they would be subject to 
the consistency mechanism. 


In his latest comments on the Regula- 
tion (and in particular on the last Coun- 
cil text), the European Data Protection 
Supervisor appears to choose the first 
option, by proposing to simply remove 
seals (certifications) from Article 42 as a 
means to demonstrate “adequate protec- 
tion” for data transfers.?It may be that he 
feels that is the saver choice. 

However, the latter option would en- 
sure that seals would only be issued to 
internationally operating companies, in- 
cluding Internet companies, if all the Eu- 
ropean DPAs agreed, in the new EDPB, 
that a seal was appropriately awarded, 
and did not in any way undermine the 
fundamental rights and freedoms, and in 
particular the data protection rights and 
freedoms, of European citizens (at least 
in the sense that none would feel the 
need to challenge a proposed seal). In 
my opinion, such strong seals, tested in 
the consistency mechanism if necessary, 
would bring real benefit to industry and 
data subjects alike. 

I therefore strongly urge those in- 
volved in the “trilogues” on the Regu- 
lation that are now starting, to adopt 
this latter option, and to reject in par- 
ticular the Couneil proposals which 
would undermine the rights and free- 
doms of our citizens. 

It is perhaps worthy of note that at 
the conference where I first presented 
the above,f the vast majority of partici- 
pants, who mainly came from global in- 
dustry, when expressly asked, supported 
the second option for strong seals issued 
by DPAs, over and above the first one. 

Finally, I should add that this does not 
necessarily mean that a country could 
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not choose to effectively “outsource” 
the heavy, frontline work involved in 
the (quite laborious) evaluation of pro- 
ducts and services put forward for a seal. 
On the contrary, that work can very well 
be done by separately established but 
appropriately vetted — i.e., accredited 
— independent bodies including bodies 
established by the private sector (such 
as EuroPriSe itself now is). But the eva- 
luations carried out by them would have 
to be checked by the relevant DPA, and 
a seal should not be issued unless it is 
at least (if it is not issued directly by a 
DPA) formally endorsed by the relevant 
DPA in the form of an “act with legal 
effects” (German: Verwaltungsakt). 


Douwe Korff 
Cambridge, August 2015 
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ofthe Centre for Internet & Human 
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Frankfurt/O and Berlin. He helped to 
establish the “European Privacy Seal” 
(EuroPriSe) scheme under an EC “e- 
TEN” programme in 2008 and has been 
a EuroPriSe expert since, evaluating a 
range of products offered by ValidSoft 
UK Ltd, all relating to fraud prevention 
by financial institutions. 


T This article is partly based on a presen- 
tation by the author to the 5th European 
Data Protection Days Euroforum confe- 
rence in Berlin, 4 — 5 May 2015. 


Notes: 


1 On 11 August 2015, the EuroPriSe web- 
site listed 35 seals as having been issued 
(not counting re-certifications required 
every two years): 


https://www.european-privacy-seal.eu/ 
EPS-en/Awarded-seals 


By the same day, the Schleswig-Holstein 
data protection authority, ULD, had 
(since 2009) issued 38 seals: 


https://www.datenschutzzentrum.de/ 
guetesiegel/register/2009-2013/ 


Europäische Akademie für Informationsfreiheit und Datenschutz, 
Bundesbeauftragte für Datenschutz und Informationsfreiheit a.D. 


Other European schemes, such as the 
recently-introduced French system of 
“Labels” issued by the French data 
protection authority, the CNIL, are more 
limited and not really comparable to the 
above-mentioned German schemes. Un- 
der the German schemes, any company 
can apply for a seal for any (IT) product 
or service, while under the French 
scheme, companies can to date only cer- 
tify compliance with a few pre-specified 
sets of standard requirements for very 
specific products or services (to date: 
data protection audits; data protection 
training; [arrangements for internal] data 
governance; and [cloud] data “vaults”): 


http://www.cnil.fr/linstitution/labels-cnil/ 


2 Annex to Opinion 3/2015, Europe’s big 
opportunity — EDPS recommendations 
on the EU’s options for data protection 
reform, 27 July 2015, containing a 
Comparative table of GDPR texts with 
EDPS recommendations (see the texts 
for Article 42): 


https://secure.edps.europa.eu/ 
EDPSWEB/webdav/site/mySite/ 
shared/Documents/Consultation/ 
Opinions/2015/15-07-27_GDPR_ 
Recommendations _Annex_EN.pdf 


Europäischer Datenschutz: Bitte nicht aufweichen! 


Die von der Europäischen Kommissi- 
on vor mehr als drei Jahren auf den Weg 
gebrachte Datenschutzreform ist zwar 
noch nicht in „trockenen Tüchern“, aber 
immerhin ist absehbar, dass zumindest 
die Datenschutz-Grundverordnung in 
absehbarer Zeit von den EU-Gremien 
beschlossen wird. Bei allen Unsicher- 
heiten im Detail bietet sich damit die 
einmalige Chance, Herausforderungen 
an das Datenschutzrecht in Angriff zu 
nehmen und diese mit einer stärkeren 
europäischen Harmonisierung zu ver- 
binden. Gerade die Kombination dieser 
beiden Aspekte macht den möglichen 
Charme der Reform aus. Dies gilt frei- 
lich nur, wenn die Harmonisierung 
auch zu einem möglichst hohen Da- 
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tenschutzstandard führt und nicht bloß 
einen kleinsten gemeinsamen Nenner 
definiert. 

Positiv anzumerken ist, dass wesentli- 
che Grundelemente der Datenschutzre- 
form zwischen den EU-Gremien unstrei- 
tig sind: Die Einbeziehung von Unter- 
nehmen aus Drittstaaten, die in Europa 
aktiv sind (Marktortprinzip), den Abbau 
des Datenschutzgefälles zwischen den 
Mitgliedstaaten und — last but not least 
— die Stärkung der Datenschutzaufsicht. 

Trotzdem gibt es keinen Anlass, sich 
beruhigt zurückzulehnen und den Aus- 
gang des Trilogs zwischen Kommission, 
Parlament und Rat abzuwarten. Zum ei- 
nen haben die Bemühungen von Inter- 
essenvertretungen erneut zugenommen, 


denen die ganze Richtung nicht passt. 
Bedauerlich ist insbesondere, dass auch 
manche europäischen Industrievertreter 
noch nicht verstanden haben, dass ein 
wirksamer, europaweit harmonisierter 
Datenschutz in ihrem wohlverstandenen 
wirtschaftlichen Interesse liegt. Zum 
anderen gibt es durchaus auch in den 
EU-Gremien Neigungen, dem Druck 
solcher Unternehmen — vor allem aus 
Drittstaaten — nachzugeben, deren Ge- 
schäftsmodelle kaum mit einem hohen 
europäischen Datenschutzniveau kom- 
patibel sind. Zwar ist das Europäische 
Parlament in seiner Positionsbestim- 
mung überwiegend zu Gunsten des Da- 
tenschutzes über den Kommissionsent- 
wurf hinaus gegangen. Dagegen enthält 
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die Richtungsentscheidung des Rats 
gefährliche Aufweichungen und bleibt 
sogar an verschiedenen Punkten hinter 
dem derzeitigen Recht zurück. 


Für den Trilog sind insbesondere die 


folgenden Felder wichtig, in denen — 
teils erhebliche — Meinungsdivergenzen 
zwischen den Gremien bestehen. Im 
Sinne eines wirksamen Datenschutzes 
müssen hier klare Weichenstellungen 
getroffen werden: 


Keine Aufweichung der Zweckbin- 
dung. Eine generelle Erlaubnis für 
Unternehmen oder Behörden, bei 
„überwiegendem Interesse“ Daten 
auch für Zwecke zu verwenden, die 
mit dem Erhebungszweck nicht ver- 
einbar sind, wäre mit der Gewährleis- 
tung des Grundrechts auf Datenschutz 
nicht vereinbar. 


Die Bürgerinnen und Bürger müssen 
wirksam vor der Zusammenführung 
ihrer Daten zu Persönlichkeitsprofi- 
len geschützt werden. Profiling sollte 
grundsätzlich nur unter Pseudonym 
zulässig sein, wobei die Pseudonyme 
möglichst robust und rücknahmefest 
zu konstruieren sind. Auch bei der 
Verwendung von Pseudonymen muss 
der Betroffene umfassend über die 
Tatsache und die Zwecke des Profiling 
informiert werden und ihm ggf. wi- 
dersprechen können. Sensible Daten 
sollten generell vom Profiling ausge- 
nommen werden. Für den Betroffenen 
nachteilige, auf automatisierten bzw. 
überwiegend auf automatisierten Ver- 
fahren beruhende Einzelentscheidun- 
gen sollten unzulässig sein. 


Der Datentransfers in Drittstaaten 
sollte generell nur zulässig sein, wenn 
ein angemessenes Datenschutzniveau 
vorliegt, das den Anforderungen der 
EU-Grundrechtecharta genügt. Gera- 
de die im wesentlichen auf Edward 
Snowden zurückgehenden Veröffent- 
lichungen über umfassende geheim- 
dienstliche Überwachungsmaßnah- 
men haben gezeigt, dass die bisheri- 
gen Instrumente defizitär sind. Die 
vom Rat vorgeschlagenen Ausnahme- 
regelungen für bestehende Adäquanz- 
entscheidungen, etwa für Safe Harbor, 
im Rahmen von bilateralen Abkom- 
men oder für Verwaltungsvereinba- 
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rungen zwischen öffentlichen Stellen 
wären inakzeptabel. 


Sektorspezifische nationale Rege- 
lungen — etwa zum Gesundheitswe- 
sen und zum Beschäftigtendaten- 
schutz — dürfen das durch die GVO 
festgelegte Mindestniveau des Da- 
tenschutzes nicht unterschreiten. Da- 
gegen sollte es den Mitgliedstaaten 
weiterhin möglich sein, in begrün- 
deten Fällen, insb. bei der Verarbei- 
tung sensibler Daten, aber auch bei 
der behördlichen Datenverarbeitung, 
weitergehende Schutzvorschriften 
vorzusehen, damit durch nationa- 
les Verfassungsrecht (z.B. durch die 
Rechtsprechung des Bundesverfas- 
sungsgerichts) garantierte Standards 
auch weiterhin gewährleistet werden 
können. 


Die Verarbeitung personenbezogener 
Daten auf Basis einer Einwilligung 
sollte nur zulässig sein, wenn die 
faktische Freiwilligkeit gewährleistet 
ist. Im Falle gravierender Machtun- 
terschiede zwischen der verantwortli- 
chen Stelle und dem Betroffenen kann 
im Regelfall nicht hiervon ausgegan- 
gen werden. Die Einwilligung sollte 
generell ausdrücklich erfolgen und 
nicht implizit. 


Die für die Verarbeitung von Daten 
für statistische und für Forschungs- 
zwecke vorgesehenen weit reichen- 
den Sonderregelungen müssen durch 
besondere Schutzvorkehrungen, ins- 
besondere durch ein wirksames For- 
schungsgeheimnis, abgesichert wer- 
den. 


Der technologische Datenschutz 
sollte gestärkt werden. Dazu ist es 
erforderlich, die Vorgaben zu Privacy 
by Design, Privacy by Default und zur 
Datenschutzfolgenabschätzung kon- 
kreter und verbindlicher zu fassen. 
Die Vorgaben zur Vergabe und Ver- 
wendung qualifizierter Datenschutz- 
Gütesiegel sollten verbindlicher for- 
muliert werden. 


Die unabhängigen Datenschutzauf- 
sichtsbehörden brauchen wirksame 
Sanktionsmöglichkeiten bei Verstö- 
ßen, die sich an der wirtschaftlichen 


Leistungsfähigkeitr der Unternehmen 
orientieren. Angesichts der erheb- 
lichen, mit der GVO verbundenen 
Ausweitung ihrer Aufgaben benötigen 
sie eine angemessene personelle und 
sachliche Ausstattung nach einem eu- 
ropaweit verbindlichen Standard. Der 
aus den Aufsichtsbehörden gebilde- 
te Datenschutzausschuss sollte über 
Streitfragen über die Auslegung der 
GVO verbindlich entscheiden. Eine 
Letztentscheidungsbefugnis der Kom- 
mission wäre damit unvereinbar. 


Die Bestellung interner (betriebli- 
cher/behördlicher) Datenschutzbe- 
auftragter sollte in der gesamte EU 
obligatorisch sein. Ihre unabhängige 
Stellung sollte rechtlich effektiv abge- 
sichert sein, etwa durch entsprechen- 
den Kündigungsschutz. 
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vzbv - Florian Glatzner 


Datenschutz in Europa: Die roten Linien des vzbv 


Die Digitalisierung berührt und verän- 
dert alle Lebensbereiche der Menschen. 
Schon heute lässt sich Vieles im All- 
tag ohne Internetzugang und -nutzung 
kaum noch bewerkstelligen. Vernetzte 
Geräte vereinfachen zwar das Leben 
der Verbraucher, erzeugen aber auch 
ständig Daten, hinterlassen bleibende 
Datenspuren und verknüpfen Daten zu 
verschiedenen — individuell nicht steu- 
erbaren — Aussagen und Prognosen. Die 
geltende Europäische Datenschutzricht- 
linie von 1995 erfasst viele Probleme 
des Datenschutzes nicht, mit denen Ver- 
braucherinnen und Verbraucher heute 
konfrontiert sind. Eine Modernisierung 
der gesetzlichen Regelungen, ihre An- 
passung an die Herausforderungen der 
der Gegenwart und Zukunft ist daher 
dringend notwendig. Es braucht klare 
Regeln, um den Schutz der persönli- 
chen Daten und der Privatsphäre der 
Verbraucher gewährleisten zu können 
und gleichzeitig Rechtssicherheit und 
Wettbewerbsfähigkeit europäischer Un- 
ternehmen zu stärken. Die Novellierung 
der Datenschutzverordnung der Europä- 
ischen Union ist somit eines der wich- 
tigsten Regulierungsinstrumente für die 
nächsten Jahre, wenn nicht Jahrzehnte. 

Nach Ansicht des Verbraucherzentra- 
le Bundesverbands e.V. (vzbv) hat sich 
aber die inhaltliche Diskussion wäh- 
rend der zurückliegenden dreieinhalb 
Jahre schrittweise in eine datenschutz- 
unfreundliche Richtung bewegt. Wäh- 
rend die Europäische Kommission und 
das EU-Parlament ein Mehr an Daten- 
schutz anstreben, ist durch die deutlich 
wirtschaftsfreundlichere Positionierung 
des Rates der Europäischen Union eine 
Situation für die weiteren Verhandlun- 
gen entstanden, wo es an vielen Stellen 
nur noch um den Erhalt des geltenden 
Niveaus auf europäischer und national- 
staatlicher Ebene gehen wird. Damit ist 
das Gesamtziel der so dringlichen Mo- 
dernisierung der Richtlinie von 1995 
gefährdet. Ziel war ein Mehr an Da- 
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tenschutz und Datensicherheit, im Ge- 
spräch ist durchaus auch ein Weniger 
— eine Punktlandung soll nun sein, den 
gegenwärtigen Regelungsstand nicht zu 
unterbieten. Für Verbraucher kein Er- 
folg! 


Rote Linien des vzbv beim europäi- 
schen Datenschutz 


1. Datensparsamkeit 


Ein Grundprinzip eines wirksamen 
Datenschutzes ist die Datensparsamkeit. 
Das Bundesdatenschutzgesetz beispiels- 
weise regelt: „Die Erhebung, Verarbei- 
tung und Nutzung personenbezogener 
Daten und die Auswahl und Gestaltung 
von Datenverarbeitungssystemen sind 
an dem Ziel auszurichten, so wenig per- 
sonenbezogene Daten wie möglich zu 
erheben, zu verarbeiten oder zu nutzen.“ 

Auf diese Weise sollen die Risiken der 
Datenverarbeitung verringert und deren 
Verhältnismäßigkeit gewahrt werden. 
Unternehmen müssen demnach stets 
kritisch prüfen, ob die zu verarbeiten- 
den Daten tatsächlich nötig sind, oder 
ob nicht mit weniger (oder pseudony- 
misierten oder anonymisierten) Daten 
derselbe Zweck erzielt werden kann. 
Dadurch wird auch die Entwicklung und 
Anwendung _datenschutzfreundlicher 
Technologien gefördert. 

Nach den Vorschlägen des Rates der 
Europäischen Union aber sollte eine Da- 
tenverarbeitung künftig nicht mehr auf 
ein Minimum begrenzt werden, sondern 
lediglich „nicht exzessiv“ sein. Dies 
würde aber eine deutliche Absenkung 
des geltenden Datenschutzniveaus be- 
deuten. Dieser Vorschlag des Rates ist 
somit inakzeptabel. 


2. „Berechtigtes Interesse“ der daten- 
verarbeitenden Stelle 


Die Rechtmäßigkeit der Verarbeitung 
kann durch „berechtigte Interessen“ 


eines für die Verarbeitung Verantwort- 
lichen begründet sein, sofern die Inte- 
ressen oder Rechte Betroffener nicht 
überwiegen. Die Regelung darf aber 
nicht dazu führen, dass Unternehmen 
künftig Daten auf Basis eines Berechtig- 
ten verarbeiten, wenn sie beispielsweise 
keine Einwilligung der Betroffenen ein- 
holen möchten. Dementsprechend sollte 
eine Datenverarbeitung auf Grundlage 
einer Interessenabwägung nur erlaubt 
sein, wenn dies aus objektiven Grün- 
den tatsächlich erforderlich ist (wovon 
man beispielsweise bei der Verwendung 
personenbezogener Daten zu Werbe- 
zwecken grundsätzlich nicht ausgehen 
kann). 

Der vzbv hält es für unerlässlich, dass 
die Verordnung keine weite Auslegung 
des „berechtigten Interesses“ zulässt. 
Der Rat der Europäischen Union for- 
dert, eine Änderung des Verarbeitungs- 
zwecks auf Basis der Interessenabwä- 
gung auch dann zuzulassen, wenn keine 
Kompatibilität mit dem ursprünglichen 
Zweck der Datenerhebung besteht. Wird 
das „berechtigte Interesse“ der Unter- 
nehmen an dieser Stelle zu weit gefasst, 
wäre die Zweckbindung faktisch aufge- 
löst. 

Vor diesem Hintergrund kritisiert der 
vzbv, dass das Europäische Parlament 
und der Rat der Europäischen Union 
eine Datenverarbeitung zu Zwecken des 
Direktmarketings grundsätzlich vom 
„berechtigten Interesse“ der datenver- 
arbeitenden Stelle oder eines Dritten, an 
den die Daten weitergegeben wurden, 
gedeckt sehen. Die Positionen bleiben 
damit sogar hinter den in Deutschland 
aktuell geltenden Regelungen zurück. 

Der vzbv fordert daher von der Eu- 
ropäischen Kommission, dem EU-Par- 
lament und vom Rat der Europäischen 
Union klare Kriterien für eine enge Aus- 
legung des „berechtigten Interesses“. 
Insbesondere für die Nutzung von per- 
sonenbezogenen Daten zu Werbezwe- 
cken sollte grundsätzlich eine Einwilli- 


DANA » Datenschutz Nachrichten 3/2015 


gung des Betroffenen eingeholt werden 
müssen. 


3. Änderung des Verarbeitungszwecks 


Auch das Prinzip der Zweckbindung 
ist einer der Grundpfeiler des Da- 
tenschutzes. Es ist in der EU-Grund- 
rechtecharta verankert, nach der Daten 
„nur nach Treu und Glauben für fest- 
gelegte Zwecke und mit Einwilligung 
der betroffenen Person oder auf einer 
sonstigen gesetzlich geregelten legiti- 
men Grundlage verarbeitet werden“ 
dürfen. Auch die bisherige Europäische 
Datenschutzrichtlinie regelt, dass perso- 
nenbezogene Daten nur „für festgeleg- 
te eindeutige und rechtmäßige Zwecke 
erhoben und nicht in einer mit diesen 
Zweckbestimmungen nicht zu vereinba- 
renden Weise weiterverarbeitet werden“ 
dürfen. 

Der Entwurf der Europäischen Kom- 
mission führt jedoch eine Regelung 
ein, nach der personenbezogene Daten 
auch bei nicht bestehender Kompati- 
bilität mit dem ursprünglichen Zweck 
der Datenerhebung verarbeitet werden 
könnten, wenn ein sonstiger Rechtferti- 
gungsgrund, z.B. eine Einwilligung oder 
vertragliche Grundlage, einschlägig ist. 
In seiner Positionierung spricht sich der 
Rat der Europäischen Union dafür aus, 
die Regelung sogar noch auf personen- 
bezogene Daten auszuweiten, die auf 
Basis eines „berechtigten Interesses“ 


Peter Wedde 


verarbeitet werden. Besonders in Ver- 
bindung mit der weiten Auslegung des 
Begriffs des „berechtigten Interesses“ 
in der Verordnung würde die Zweckbin- 
dung somit künftig aufgelöst. 

Der vzbv hält grundsätzlich jede Wei- 
terverarbeitung von personenbezogenen 
Daten, die nicht mit dem Zweck verein- 
bar ist, für die die Daten ursprünglich er- 
hoben wurden, für äußerst kritisch. Eine 
solche Regelung bietet zu viele Spiel- 
räume für datenverarbeitende Stellen, 
Daten weiterzuverwenden und an Dritte 
zu übermitteln. Sie führt unweigerlich 
dazu, dass Verbraucher völlig unerwar- 
tet mit der weiteren Nutzung ihrer Daten 
konfrontiert würden. Dies zerstört Ver- 
trauen der Verbraucher in die Wirtschaft, 
dass mit ihren Daten verantwortungsvoll 
und nach ihren Wünschen umgegangen 
wird. Für ein begründetes Vertrauen 
sind klare gesetzliche Begrenzungen 
der Datenverarbeitung, wie ein strikter 
Zweckbindungsgrundsatz, erforderlich. 


4. Profilbildung 


Mit der Digitalisierung werden syste- 
matisch immer mehr Informationen über 
Vorlieben, Ansichten und persönliche 
Verhältnisse der Verbraucher gesam- 
melt und in Profilen zusammengefasst. 
Ziel ist die Vorhersehbarkeit und damit 
Steuerbarkeit menschlichen Verhaltens. 
Daten, die detaillierte Aufschlüsse über 
Motivationen, Präferenzen, Beziehun- 


gen, Gesundheit oder sonstige Faktoren 
des Selbstwerts einer Person geben, sind 
zu wertvollen marktfähigen Gütern ge- 
worden. Sie können entscheidend dafür 
sein, ob Verbraucher Kredite erhalten, 
welche Versicherungsbeiträge sie leis- 
ten müssen oder welche Preise sie für 
Güter bezahlen. Die Profilbildung hat 
nicht nur massive Auswirkungen auf 
den Einzelnen, sondern auch auf die Ge- 
sellschaft. Umso wichtiger ist eine ver- 
braucherfreundliche Ausgestaltung der 
Profilbildung mit klaren Grenzen. 

Daher muss die Profilbildung selbst 
begrenzt werden. Denn schon die reine 
Bildung eines Profils greift tief in die 
Rechte betroffener Personen ein. Auch 
darf eine Profilbildung nicht erst regu- 
liert werden, wenn sie dem Verbraucher 
gegenüber eine rechtliche Wirkung ent- 
faltet oder ihn in maßgeblicher Weise 
beeinträchtigt. Eine Profilbildung, die es 
ermöglicht, Verbrauchern individuali- 
sierte Werbung anzuzeigen oder Produk- 
te und Dienstleistungen zu individuellen 
Preisen anzubieten, wäre ansonsten gar 
nicht erst durch die Verordnung erfasst. 
Zu diesen Zwecken wird die Profilbil- 
dung jedoch oft angewendet. 

Die Verarbeitung personenbezoge- 
ner Daten ist gerade in Hinblick auf die 
Profilbildung besonders kritisch. Da- 
her sollte eine Profilbildung auch auf 
Grundlage besonderer Kategorien von 
personenbezogenen Daten nur unter 
strengen Bedingungen erlaubt sein. 


Die EU-DS-GVO - Beschäftigtendaten- 
Verarbeitungs-Erlaubnisverordnung statt 
Beschäftigtendatenschutz”? 


In betrieblichen Datenverarbeitungs- 
systemen findet sich heute eine Fülle 
personenbezogener Beschäftigtendaten. 
Dies ist keine neue Erkenntnis. Grund- 
legend neu sind aber die Verknüpfungs- 
und Auswertungsmöglichkeiten, die 
Arbeitgebern inzwischen zur Verfügung 
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stehen. In Zeitalter von „Big Data“, „In- 
dustrie 4.0“ und „Unified Communica- 
tion“ ist der „Gläserne Arbeitnehmer“ 
längst Realität. Die Durchsichtigkeit 
nimmt nochmals zu, wenn vorhandene 
betriebliche Daten mit privaten Infor- 
mationen verknüpfen werden, die im 


Internet zur Verfügung stehen. Gleiches 
gilt für Bewerber, wenn die von ihnen 
an potentielle Arbeitgeber übergebenen 
Informationen mit Daten aus dem In- 
ternet verknüpft werden. Wer da Pech 
hat, wird schon im Vorfeld eines Erst- 
gesprächs gnadenlos ausgesiebt. Ähn- 
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liches kann für ehemalige Beschäftigte 
gelten, die sich anderenorts bewerben. 

Vor dem Hintergrund der rasant vor- 
anschreitenden technischen Entwick- 
lung ist eine europaweit gültige Rege- 
lung, die Bewerber, Beschäftigte und 
ehemalige Mitarbeiter wirksam vor 
ausufernder Datenverarbeitung schützt 
und die gleichzeitig die Verarbeitungs- 
möglichkeiten von Arbeitgebern auf ein 
aus objektiver Sicht notwendiges Mini- 
mum beschränkt, mehr als wünschens- 
wert. Einen derart umfassenden Schutz 
sah zwar auch die Entwurfsfassung der 
EU-Kommission vom 25. Januar 2012 
zu einer Europäischen Datenschutz- 
Grundverordnung (EU-DS-GVO) nicht 
vor. Der im ursprünglichen Entwurfstext 
zu diesem Thema enthaltene Art. 82 
zielte aber darauf, in allen EU-Staaten 
einschlägige Gesetze in den Grenzen der 
EU-DS-GVO zu schaffen. 

Von diesem dem Beschäftigtendaten- 
schutz zuträglichen Ansatz hat sich die 
Entwurfsfassung des EU-Parlaments 
vom 12. März 2014 grundlegend ent- 
fernt. Diese Feststellung folgt einerseits 
aus den zahlreichen Änderungen im Ver- 
ordnungstext, die zu einer deutlichen Re- 
duzierung des ursprünglich vorgesehenen 
Datenschutzstandards führen. Bezogen 
auf den Beschäftigtendatenschutz leitet 
sie sich andererseits aus zahlreichen da- 
tenschutzrechtlichen Erlaubnistatbestän- 
den ab, die nunmehr in den neu in Art. 
82 eingefügten Abs. la bis 1d enthalten 
sind. Hinter diesen Erlaubnistatbestän- 
den, die die Erhebungs-, Verarbeitungs- 
und Nutzungsbefugnisse der Arbeitgeber 
bezogen auf die derzeit in Deutschland 
bestehende rechtliche Situation massiv 
ausweiten würden, könnte kein nationa- 
ler Gesetzgeber zurückbleiben. Adäquate 
wirksame Schutzmechanismen zuguns- 
ten der Beschäftigten fehlen hingegen im 
Entwurfstext. Ein Teil der Regelungen in 
Art. 82 Abs. la bis Id ähneln denen, die 
der in Deutschland kontrovers diskutierte 
Entwurf der CDU/FDP-Bundesregierung 
zu einem Beschäftigtendatenschutzge- 
setz enthielt. 

Der Entwurf des EU-Parlaments zu 
Art. 82 EU-DS-GVO würde im Ergeb- 
nis zu einer „Beschäftigtendatenverar- 
beitungs-Erlaubnisverordnung“ führen: 


e Durch den Textvorschlag zu Art. 82 
Abs. 1b würde beispielsweise die Ver- 
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arbeitung von Beschäftigtendaten auf 
Grundlage einer freiwilligen Einwilli- 
gung möglich, ohne dass Beschäftig- 
te zugleich wirksam davor geschützt 
werden, bezüglich der Abgabe einer 
Einwilligung unter Druck gesetzt zu 
werden. 


Die Regelung in Art. 82 Abs. Ic 
Buchstabe a) lässt für den Fall, dass 
zu dokumentierende tatsächliche An- 
haltspunkte den Verdacht begründen, 
dass im Beschäftigungsverhältnis eine 
Straftat oder eine andere schwerwie- 
gende Pflichtverletzung begangen 
wurde, auch heimliche Verarbeitun- 
gen von Beschäftigtendaten zu. Ein- 
schlägig für schwerwiegende Pflicht- 
verletzung wären nach deutschem 
Recht alle Sachverhalte, die eine 
außerordentliche Kündigung gemäß 
$ 626 BGB legitimieren. Die Schwel- 
le hierfür ist nach der Rechtsprechung 
nicht hoch. 


Durch die Regelung in Art. 82 Abs. 
lc Buchstabe b) wird die offene Vi- 
deoüberwachung für alle Betriebstei- 
le legitimiert. Ausgenommen bleiben 
würden nur Räume bleiben, die der 
„privaten Lebensgestaltung‘ der Ar- 
beitnehmer dienen. 


Durch die Regelung in Art. 82 
Abs. Ic Buchstabe c) würden ärztliche 
Untersuchungen pauschal zugelas- 
sen. Lediglich Datenerhebungen zum 
Zwecke von gentechnischen Tests und 
Analysen sollen grundsätzlich unter- 
sagt werden. 


Für den Fall, dass die private Nutzung 
von betrieblichen Kommunikations- 
diensten erlaubt ist, räumt die nicht 
abschließende Aufzählung in Art. 82 
Abs. lc Buchstabe d) Arbeitgebern 
beispielsweise das Recht ein, anfal- 
lende Verkehrsdaten zur „Gewährleis- 
tung der Datensicherheit“ zu verarbei- 
ten. Dies würde beispielsweise eine 
Auswertung der Verkehrsdaten durch 
„Data Leak Prevention-Systeme“ zu 
präventiven Zwecken beinhalten. 


Die Verarbeitung von Beschäftigten- 
daten müsste sich nach Art. 82 Abs. 
ld nicht mehr auf das jeweilige Un- 
ternehmen beschränken. Der Verord- 


nungsvorschlag begründet vielmehr 
ein Konzernprivileg für die Datenver- 
arbeitung, das es unter Beachtung der 
in Kapitel V des Entwurfs zu finden- 
den Vorgaben möglich machen würde, 
Beschäftigtendaten ggf. auch in Dritt- 
ländern zu verarbeiten. Damit würde 
es internationalen Konzern möglich, 
Überprüfungen von Verkehrsdaten zu 
Zwecken der Datensicherheit irgend- 
wo auf der Welt und damit außerhalb 
der Reichweite von Kontroll- und 
Mitbestimmungsrechten der Betriebs- 
und Personalräte durchzuführen. 


Art. 82 Abs. 1 Satz 1 sieht ausdrück- 
lich vor, dass in den Mitgliedsstaaten 
durch Kollektivvereinbarungen spe- 
zifischere Vorschriften zur Gewähr- 
leistung des Schutzes der Rechte und 
Freiheiten hinsichtlich der Verarbei- 
tung personenbezogener Daten im 
Beschäftigungsverhältnis vereinbart 
werden können. Käme es zur Umset- 
zung dieser Regelung in das nationale 
Recht, könnten Betriebs- und Perso- 
nalräte unter Druck gesetzt werden, 
einer Reduzierung von Datenschutz- 
standards zuzustimmen, etwa zu Zwe- 
cken der Beschäftigungssicherung. 


Aus Sicht von Beschäftigten positiv 
ist hingegen die Regelung in Art. 82 
Abs. lc Buchstabe e) des Parlaments- 
Entwurfs zu bewerten, durch die u.a. 
die Erstellung „schwarzer Listen“ zur 
Gewerkschaftszugehörigkeit verbo- 
ten würde. Damit endet aber die Auf- 
zählung von Regelungsbestandteilen 
schon, die aus der Sicht von Beschäf- 
tigten positiv zu bewerten sind. 


Der Rat der EU hat am 15. Juni 2015 
die vom EU-Parlament in Art. 82 ein- 
gefügten Abs. la bis Id nicht in seinen 
Entwurfstext übernommen. Allerdings 
verzichtet er mit seiner geänderten For- 
mulierung zu Art. 82 Abs. 1 Satz I nun- 
mehr vollständig darauf, dass nationale 
Regelungen zum Beschäftigtendaten- 
schutz ‚in den Grenzen dieser Verord- 
nung“ (Vorschlag der EU-Kommission 
zu Abs. I Satz 1) oder „im Einklang 
mit den Regelungen“ der EU-DS-GVO 
(Vorschlag des EU-Parlaments zu Abs. 1 
Satz 1) stehen müssen. Stattdessen sieht 
der Entwurf des Rats zu Art. 82 Abs. 1 
Satz 1 nunmehr vor, dass die Mitglieds- 
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staaten „durch Rechtsvorschriften oder 
durch Kollektivvereinbarungen spezi- 
fischere Vorschriften“ zum Beschäftig- 
tendatenschutz vorsehen können. Damit 
eröffnet auch der Entwurf des Rats zur 
EU-DS-GVO den Weg, Datenschutz per 
Betriebsvereinbarung oder Tarifvertrag 
zu regeln, was auch Verschlechterungen 
gegenüber der gesetzlichen Situation per 
Betriebsvereinbarung oder Tarifvertrag 
beinhalten kann. 

Bedenklich an der Textfassung des 
Rats sind weitere Details wie etwa der 
Hinweis, dass die Datenverarbeitung 
auch zu Zwecken der Erfüllung „gesetz- 
licher (...) Pflichten des Managements“ 
erfolgen kann. Dies würde der Forde- 
rung von Arbeitgebern mehr Gewicht 
verleihen, die schon heute die Inten- 
sivierung von Datenverarbeitung aus 
Compliance-Gründen fordern, um das 
eigene Management vor Regressforde- 
rungen zu schützen. 


Fazit 


Der vom EU-Parlament vorgeleg- 
ten Entwurfsfassung zu Art. 82 EU- 


DS-GVO geht es offenkundig nicht 
vorrangig um den Beschäftigtendaten- 
schutz, sondern vielmehr um massive 
Erleichterungen für Arbeitgeber. Die 
Umsetzung dieser Textfassung in eu- 
ropäisches Recht würde aus deutscher 
Sicht zu einer deutlichen Schwächung 
des Schutzes der Persönlichkeitsrechte 
von Beschäftigten führen. Auf dieser 
Grundlage wären etwas umfassende 
präventive Massenscreenings, die in 
der Vergangenheit bei großen Daten- 
schutzskandalen zum Rücktritt von 
Vorstandsvorsitzenden geführt haben, 
zukünftig datenschutzrechtlich nicht 
ausgeschlossen. Eine EU-Verordnung 
in dieser Form wäre letztlich kein Mittel 
zum Beschäftigtendatenschutz, sondern 
eine „Beschäftigtendatenverarbeitungs- 
Erlaubnisverordnung“. 

Kritisch ist auch die Entwurfsfassung 
des Rats vom 15. Juli 2015 zu sehen. 
Dies folgt insbesondere daraus, dass 
Verschlechterungen der datenschutz- 
rechtlichen Situation durch Kollek- 
tivvereinbarungen nicht etwa ausge- 
schlossen werden, sondern ausdrück- 
lich zugelassen. 


Im Ergebnis bedeutet dies nicht, 
dass der ursprüngliche Vorschlag der 
EU-Kommission den Beschäftigten- 
datenschutz optimal schützen wür- 
de. Die EU-DS-GVO vom 25. Januar 
2012 überließ aber zumindest die in- 
haltliche Ausgestaltung einschlägiger 
Gesetze vollständig den einzelnen 
EU-Staaten. Dies beinhaltet die Mög- 
lichkeit, gesetzliche Besonderheiten 
und Vorgaben der Rechtsprechung bei 
der Schaffung spezifischer Beschäftig- 
tendatenschutzgesetze zu berücksich- 
tigen. Problematisch ist aus heutiger 
Sicht allerdings, dass die „Grenzen 
dieser Verordnung“ durch die Umset- 
zung zahlreicher Änderungsvorschlä- 
ge inzwischen vielfach nicht mehr 
gegeben sind. Ein wirksamer Beschäf- 
tigtendatenschutz ist damit auch auf 
Grundlage des modifizierten Entwurfs 
der EU-Kommission in weite Ferne 
gerückt. 


Die Deutsche Vereinigung für Datenschutz e.V. dankt den elf beteiligten Organisationen und Einzelpersonen, die ihre roten 
Linien zur EU-DSGVO in kurzen Beiträgen dargestellt haben. 

Es fällt auf, dass bestimmte rote Linien immer wieder genannt werden, hier ist besonders die Zweckbindung, die ausdrück- 
liche Einwilligung sowie die Pflicht einen Datenschutzbeauftragten zu bestellen gefolgt von Datensparsamkeit und Profilbil- 
dung zu nennen. Einige Beiträge haben sich nur Einzelthemen herausgegriffen und diese ausführlicher dargestellt. 


Bei allen genannten roten Linien muss bei den Trilog-Verhandlungen sichergestellt werden, dass diese nicht überschritten 
werden. 


Wir hoffen, dass die Entscheidungsträger aus EU-Kommission, EU-Parlament und EU-Rat bei den Trilog-Verhandlungen 
diese Beiträge zur Kenntnis nehmen, sich den Argumentationen anschließen können und entsprechend handeln. 


Die folgenden Organisationen und Einzelpersonen haben sich mit Beiträgen beteiligt (soweit nicht bei den Artikeln aus- 
drücklich angegeben liegt die Autorenschaft bei den jeweiligen Organisationen insgesamt): 

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit — www.bfdi.bund.de, Berufsverband der Daten- 
schutzbeauftragten Deutschlands (BvD) e.V. — www.bvdnet.de, Digitalcourage e.V. — www.digitalcourage.de, Digitale Ge- 
sellschaft e. V. - www.digitalegesellschaft.de, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung 
e.V. -— www.fiff.de, Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. — www.gdd.de, Konferenz der Daten- 
schutzbeauftragten des Bundes und der Länder — www.datenschutz.de/dsb-konferenz, Professor Douwe Korff -— www.korff. 
co.uk/douwe, Peter Schaar — www.eaid-berlin.de, Bundesverband der Verbraucherzentralen und Verbraucherverbände - Ver- 
braucherzentrale Bundesverband e.V. (vzbv) — www.vzbv.de, Prof. Dr. Peter Wedde — www.da-consulting.de 


Campact hat bei der Vorbereitung und bei dem Versand dieses Sonderhefts unterstützt. 


Im Anschluss an den folgenden Campact-Appell finden Sie thematisch passend die aktuelle Pressemitteilung des Europäi- 
schen Datenschutzbeauftragten zur EU-DSGVO und die Resolution zur EU-DSGVO des evangelischen Kirchentages 2015. 
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V.i.S.d.P.:Katharina Nocun, Artilleriestraße 6, 27283 Verden 


digitalcourage 


148.466 Menschen fordern: 


GEGEN D 


Unser Grundrecht auf informationelle Selbstbestimmung 
und Privatsphäre gegenüber Regierungen und Konzernen 
lässt sich nur europaweit durchsetzen. Deswegen unterstüt- 
zen wir die von der EU-Kommission vorgelegte Datenschutz- 
Verordnung. 


Personenbezogene Daten dürfen nicht ohne Wissen und aus- 


drückliche Zustimmung der Betroffenen gespeichert, ausge- 
wertet und weiterverkauft werden. Es muss einen Anspruch 
auf Löschung und Mitnahme der eigenen Daten - etwa aus 
sozialen Netzwerken - geben. 


Entwurf: zitrusblau.de 


| 
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DER KONZERNE 


STARKER 
EUROPÄISCHER 
DATENSCHUTZ 


aral 


NT EINEESCHEGHERTEHÄTGHERLITLEHACH IR 
keiner Verordnung zuzustimmen, die hinter das deutsche 
Datenschutzrecht zurückfällt. 


Nutzen Sie die Chance, ein hohes Schutzniveau in der 
ganzen EU zu schaffen! 


UNTERZEICHNEN SIE UNSEREN APPELL: 
WWW.GAMPAGT.DE/EU-DATENSCHUTZ 


Bewegt Politik 


campact= 


EDPS PRESSEMITTEILUNG 


EDPS/2015/06 


Brüssel, Montag, 27. Juli 2015 


Ein neues Kapitel für den Datenschutz 


Als der Europäische Datenschutzbeauftragte heute seine Empfehlungen an die 
Mitgesetzgeber der EU übermittelte, die den endgültigen Text der Datenschutz- 
Grundverordnung aushandeln, stellte er auch eine Handy-App vor, mit der sich die 
aktuellen Texte der Kommission, des Parlaments und des Rates einfacher auf Tablets und 
Smartphones vergleichen lassen. 


Giovanni Buttarelli, der Europäische Datenschutzbeauftragte (EDSB), meinte dazu: 
"Privatsphäre und Datenschutz sind für die Menschen wichtiger als je zuvor. Zum ersten Mal 
in einer Generation hat die EU die Möglichkeit, die Vorschriften darüber, wie mit 
personenbezogenen Daten umgegangen wird, zu modernisieren, zu harmonisieren und zu 
vereinfachen. Diese Vorschriften müssen für die nächste Generation von Technologien 
anwendbar sein. Da es zu meinem Aufgabenbereich gehört, proaktiv und konstruktiv 
vorzugehen, sollen meine Empfehlungen die Mitgesetzgeber dabei unterstützen, ein 
besseres Ergebnis für natürliche Personen zu erzielen, die Garantien in der Praxis 
wirksamer zu gestalten und sie in die Lage zu versetzen, Nutzen aus den technologischen 
Neuerungen zu ziehen. Die Datenschutz-Grundverordnung ist zwar nicht die Reform, von 
der ich geträumt habe, doch ich unterstütze die Organe auf der letzten Meile mit Nachdruck, 
damit sie das bestmögliche Ergebnis erzielen; Verbesserungen sind nach wie vor möglich." 


Die Empfehlungen des EDSB sind zwangsläufig in Einklang mit den Vorgaben der 
Verhandlungen formuliert, an denen die drei wichtigsten EU-Organe (Trilog) beteiligt sind, 
und halten sich daher strikt an deren Texte. Der EDSB ist allerdings sehr innovativ 
vorgegangen, denn er hat sich für pragmatische Lösungen eingesetzt, die auf einer über 
zehnjährigen Erfahrung im Bereich der Aufsicht, Politikempfehlung und weltweiten 
Partnerschaft aufbauen. Die Empfehlungen des EDSB wurden im Interesse von Transparenz 
und Rechenschaftspflicht veröffentlicht. 


Die vorgeschlagenen neuen Vorschriften werden sich potenziell auf alle natürlichen 
Personen in der EU, auf alle Organisationen in der EU, die personenbezogene Daten 
verarbeiten, sowie auf Organisationen außerhalb der EU, die personenbezogene Daten von 
natürlichen Personen in der EU verarbeiten, auswirken. Die übrige Welt blickt daher 
gespannt auf uns. Die Qualität des neuen EU-Datenschutzrechts, sein zukunftsorientierter 
Ansatz und die Art und Weise, wie dieser mit den weltweiten Rechtssystemen und 
rechtlichen Entwicklungen zusammenwirkt, sind von überragender Bedeutung. Europa kann 
international mit gutem Beispiel vorangehen. 


Der EDSB ist der Auffassung, dass die EU den Datenschutz neu ordnen muss: sie braucht 
einen „neuen Deal“ und sollte ein neues Kapitel aufschlagen, das weniger auf übermäßige 
Formalitäten oder ein zu reglementierendes Vorgehen ausgerichtet ist, sondern mehr auf 
dynamisch gestaltete Garantien setzt, damit natürliche Personen die Kontrolle über die 
sie betreffenden Daten in der Welt der „Big Data“, in der wir leben, haben. Beim Umgang mit 
dem rasanten Technologiewandel sollten Leitlinien und vorbildliche Verfahren von gestärkten 
und wirklich unabhängigen Datenschutzbehörden Hilfestellung bieten. 
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Der EDSB hält die Mitgesetzgeber dazu an, bei dem endgültig vereinbarten Text an der 
Würde des Einzelnen und der Menschenwürde festzuhalten und diese in den 
Vordergrund zu rücken: natürliche Personen müssen geschützt werden, und zwar nicht nur 
deshalb, weil sie Benutzer, Abonnenten oder Verbraucher sind. Wir sollten es nicht zulassen, 
dass uns die Technologie unsere Rechte und Freiheiten vorschreibt oder einschränkt. 


Wojciech Wiewiörowski, Stellvertretender Beauftragter, erklärte: "Privatsphäre und 
Datenschutz sind keine Hindernisse für wirtschaftliches Wachstum und internationalen 
Handel, sondern fördern diese. Vertrauen ist die notwendige Voraussetzung für innovative 
Produkte und Dienstleistungen, die auf die Verarbeitung personenbezogener Daten 
angewiesen sind. Das Bemühen der EU, den digitalen Binnenmarkt auszubauen, wird nur 
dann von Erfolg gekrönt sein, wenn die Interessen von natürlichen Personen geschützt 
werden. Ein „neuer Deal“ für die Bürgerrechte kann verantwortungsbewusste Unternehmen 
und staatliche Behörden wachrütteln." 


Hintergrundinformationen 


Privatsphäre und Datenschutz sind Grundrechte in der EU. Datenschutz ist ein Grundrecht, das durch 
europäisches Recht geschützt und in Artikel 8 der Charta der Grundrechte der Europäischen Union verankert ist. 


Konkret sind die Datenschutzbestimmungen für die EU-Organe - sowie die Pflichten des Europäischen 
Datenschutzbeauftragen (EDSB)- in der Verordnung (EG)Nr. 45/2001 geregelt. Der Europäische 
Datenschutzbeauftrage (EDSB) ist eine relativ neue, aber zunehmend einflussreiche unabhängige 
Aufsichtsbehörde, die die Verarbeitung personenbezogener Daten durch die Einrichtungen und Organe der EU 
überwacht, in Bezug auf politische Maßnahmen und Rechtsvorschriften, die sich auf die Privatsphäre auswirken, 
beratend tätig ist und mit vergleichbaren Behörden zusammenarbeitet, um einen kohärenten Datenschutz 
sicherzustellen. 


Giovanni Buttarelli (EDSB) und Wojciech Wiewiörowski (Stellvertretender EDSB) sind Mitglieder dieser 
Behörde und wurden durch eine gemeinsame Entscheidung des Europäischen Parlaments und des Rates 
ernannt. Sie traten ihre fünfjährige Amtszeit am 4. Dezember 2014 an. 


Strategie des EDSB für den Zeitraum 2015-2019: In dem am 2. März 2015 vorgelegten Plan für den Zeitraum 
2015-2019 werden die wichtigsten Herausforderungen im Bereich Datenschutz und Schutz der Privatsphäre für 
die kommenden Jahre sowie die drei strategischen Ziele und die zehn Begleitmaßnahmen des EDSB, um diesen 
Herausforderungen zu begegnen, zusammengefasst. Die Ziele lauten: 1.) Datenschutz wird digital 2.) Aufbau 
globaler Partnerschaften und 3.) Ein neues Kapitel für den Datenschutz in der EU. 


Personenbezogene Daten bzw. Informationen: Alle Informationen, die sich auf eine bestimmte oder 
bestimmbare (lebende) natürliche Person beziehen. Beispiele hierfür sind u. a. Namen, Geburtsdaten, Fotos, 
Videoaufnahmen, E-Mail-Adressen und Telefonnummern. Weitere Angaben wie z. B. IP-Adressen und Inhalte 
von Mitteilungen, die sich auf Endnutzer von Kommunikationsdiensten beziehen oder von ihnen zur Verfügung 
gestellt werden, gelten ebenfalls als personenbezogene Daten. 


Privatsphäre: Das Recht einer natürlichen Person, alleine gelassen zu werden und die Kontrolle über die 
Informationen über sich selbst auszuüben. Das Recht auf Privatsphäre und auf ein Privatleben ist in der 
Allgemeinen Erklärung der Menschenrechte (Artikel 12), der Europäischen Menschenrechtskonvention (Artikel 8) 
und der Europäischen Charta der Grundrechte (Artikel 7) verankert. Die Charta umfasst auch ein ausdrückliches 
Recht auf Schutz personenbezogener Daten (Artikel 8). 


Verarbeitung personenbezogener Daten: Im Sinne von Artikel 2 Buchstabe b der Verordnung (EG) Nr. 45/2001 
bezeichnet der Ausdruck „Verarbeitung personenbezogener Daten“ „jeden mit oder ohne Hilfe automatisierter 
Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie 
das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das 
Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere 
Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.“ 
Siehe hierzu auch das Glossar auf der EDSB-Website. 


Große Datenmengen (Big Data): Gigantische digitale Datensätze im Besitz von Unternehmen, Regierungen und 
anderen großen Organisationen, die anschließend mittels Computeralgorithmen intensiv analysiert werden. Siehe 
hierzu auch die Stellungnahme 03/2013 der Artikel 29-Datenschutzgruppe zur Zweckbindung, S. 35. 


Bei der Eurobarometer-Umfrage zum Datenschutz vom Juni 2015 wurde festgestellt, dass Datenschutz, 
insbesondere die Verarbeitung personenbezogener Daten in der digitalen Welt, für natürliche Personen in der EU 
nach wie vor ein wichtiges Anliegen ist. 


DANA » Datenschutz Nachrichten 3/2015 


138 


EU-Datenschutzreformpaket: Am 25. Januar 2012 nahm die Europäische Kommission ihren Legislativvorschlag 
für die Datenschutz-Grundverordnung an, die direkt in allen EU-Mitgliedstaaten anwendbar ist. Der Standpunkt 
des Europäischen Parlaments wurde am 12. März 2014 in erster Lesung und der Standpunkt des Rates am 
15. Juni 2015 angenommen. Das Europäische Parlament, der Rat der Europäischen Union und die Europäische 
Kommission befassen sich jetzt bei den Sitzungen des Trilogs mit der endgültigen Formulierung der Verordnung. 
Weitere Informationen über die Reform sind in dem speziell zu diesem Thema eingerichteten Bereich auf der 
Website des EDSB zu finden. 


EU-Datenschutz ist eine kostenlose App des EDSB für mobile Endgeräte. Damit können alle Interessierten die 
neuesten Textvorschläge für die anstehende Datenschutz-Grundverordnung der Europäischen Kommission, des 
Europäischen Parlaments und des Rates der Europäischen Union vergleichen. Die App enthält auch die 
neuesten Empfehlungen des EDSB an die Mitgesetzgeber. Alle Texte können in einer beliebigen Kombination 
geladen und dann Seite für Seite verglichen werden (auf Smartphones aufgrund der begrenzten Bildschirmgröße 
maximal zwei Texte gleichzeitig). 


Der Europäische Datenschutzbeauftragte (EDSB) ist eine unabhängige Aufsichtsbehörde, deren Aufgabe es 
ist, dafür zu sorgen, dass der Schutz personenbezogener Daten und der Privatsphäre gewährleistet ist und 
bewährte Verfahren in den Organen und Einrichtungen der EU gefördert werden. Er erfüllt diese Aufgabe, 
indem er 


die Verarbeitung personenbezogener Daten durch die EU-Verwaltung überwacht, 

in Bezug auf politische Maßnahmen und Rechtsvorschriften, die sich auf den Schutz der 
Privatsphäre auswirken, beratend tätig ist und 

mit vergleichbaren Behörden zusammenarbeitet, um einen einheitlichen Datenschutz sicherzustellen. 


Die Empfehlungen des EDSB sind auf der Website des EDSB abrufbar. Weitere Informationen: 
press@edps.europa.eu 


EDSB - Der europäische Hüter des Datenschutzes 
www.edps.europa.eu 


7 Folgen Sie uns auf Twitter. @EU EDPS 


Diese Pressemitteilung als PDF sowie die EU-Data-Protection-App, die englische Version der Pressemitteilung und auch die 
Themenseite des EDPS finden Sie unter den folgenden Links: 


Pressemitteilung des EDPS zur Reform der EU-Datenschutzgrundverordnung vom 27.07.2015 (deutsch): 
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2015/EDPS-2015- 
06-EDPS_GDPR_DE.pdf 


Pressemitteilung des EDPS zur Reform der EU-Datenschutzgrundverordnung vom 27.07.2015 (englisch): 
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2015/EDPS-2015- 
06-EDPS_GDPR_EN.pdf 


Themenseite zur EU-Datenschutzgrundverordnung des EDPS (englisch): 
https://secure.edps.europa.eW/EDPSWEB/edps/Consultation/Reform_package 


Empfehlungen des EDPS zur EU-Datenschutzgrundverordnung (englisch): 
https://secure.edps.europa.eW/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27 _ 
GDPR_Recommendations_EN.pdf 


Tabellarische Darstellung der Empfehlungen des EDPS zur EU-Datenschutzgrundverordnung (englisch): 
https://secure.edps.europa.ewW/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27 _ 
GDPR_Recommendations_Annex_EN.pdf 


Die EU-Data-Protection-App im Apple-Store: 
https://itunes.apple.com/us/app/eu-data-protection/id1014393191?Is=1&mt=8 


Die EU-Data-Protection-App im Google Store: 
https://play.google.com/store/apps/details?id=eu.europa.edps.dataprotection 
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Evangelischer Kirchentag 3.-7. Juni 2015 in Stuttgart 


Rettet unsere Grundrechte - für einen starken 
Datenschutz in Europa! 


Antragsteller/in: 
Rena Tangens, Digitalcourage e.V., 
Marktstraße 18, 33602 Bielefeld 


Adressat: 
Thomas de Maiziere, Bundesinnenmi- 
nister 


Text: 

Appell an den Bundesinnenminister: 
Bekennen Sie sich eindeutig zum Da- 
tenschutz Ihrer Bürgerinnen und Bürger, 
statt sie den internationalen Datenmärk- 
ten auszuliefern! 


Begründung: 

Globale Big-Data-Konzerne sehen 
unsere persönlichen Daten als das neue 
Erdöl und sind entsprechend rücksichts- 
los dabei, sie auszubeuten. Die daten- 
sammelnde Wirtschaft will möglichst 
ungehindert Zugriff auf all unsere Daten 
haben. 


Noch im Juni will der EU-Ministerrat 
seine Fassung der Datenschutzverord- 
nung beschließen. Die EU würde damit 
grundlegende Prinzipien über Bord wer- 
fen, die uns schützen. Das betrifft uns 
alle - denn wenn die EU-Datenschutz- 
verordnung in Brüssel beschlossen wird, 
gilt sie unmittelbar und deutsches Da- 
tenschutzrecht wird hinfällig. 


Es ist Aufgabe der Politik, der Da- 
tengier Schranken zu setzen und die 
Persönlichkeitsrechte der Bürgerinnen 
und Bürger per Gesetz wirksam zu 
schützen. Leider tut das hierfür ver- 
antwortliche Innenministerium bei den 
Verhandlungen im EU-Ministerrat das 
Gegenteil. Statt die Grundrechte der 
Bürgerinnen und Bürger zu schützen, 
hat es offen Ohren für die Lobbyisten 
der Daten-Dealer. 


Für uns ist unsere Menschenwür- 
de unverzichtbar. Wir wollen nicht auf 
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Befürworter der Grundrechte bei dem Kirchentag. 
Bildquelle: https://www.kirchentag.de/programm/resolutionen.html 


Zahlen reduziert werden. Wir wollen 
auch morgen unsere Entscheidungsfrei- 
heit nicht an Algorithmen von Konzer- 
nen abgeben. 


Jetzt im Juni ist die allerletzte Chan- 
ce, im zukünftigen europäischen Recht 
unsere Werte zu verteidigen. Wenn das 
Datenschutzrecht schwach ist, dann 
verlieren die Menschen in der digitalen 
Welt ihre Freiheit. 


Wir appellieren an den Bundesinnen- 
minister: 


Bekennen Sie sich eindeutig zum Da- 
tenschutz Ihrer Bürgerinnen und Bürger, 
statt sie den internationalen Datenmärk- 
ten auszuliefern! 


Setzen Sie sich im EU-Ministerrat 
entschieden für folgende Punkte ein: 


1.Bürgerinnen und Bürger sollen das 
Recht auf einen datenschutzfreund- 
lichen Service bekommen. (privacy- 
friendly-service) 


2.Leistungen dürfen nicht von der 
Preisgabe unnötiger Daten abhän- 
gig gemacht werden. Das heißt, eine 
Taschenlampen-App muss auch funk- 
tionieren, wenn wir keinen Zugriff auf 
unser Adressbuch geben. (Datenspar- 
samkeit und Kopplungsverbot) 


3.Daten dürfen nur für die Zwecke ver- 
wendet werden, für die sie erhoben 
wurden. (Zweckbindung) 


4.Bürgerinnen und Bürger müssen der 
Verarbeitung ihrer Daten ausdrücklich 
zustimmen. Es reicht nicht, wenn Fir- 
men behaupten, sie hätten ein “berech- 
tigtes Interesse”. Nur die informierte 
Zustimmung sichert unser Recht auf 
informationelle Selbstbestimmung. 
(explizite Einwilligung) 


5.Forschung darf keine Hintertür für 
Firmen werden, persönliche Daten 
beliebig und ohne Zustimmung der 
Betroffenen zu nutzen. Dies gilt ins- 
besondere für Daten, die Rückschlüs- 
se auf die Gesundheit zulassen. 
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Jörg Pohle 


Zweckbindung revisited 


Einleitung 


Das datenschutzrechtliche Prinzip der 
Zweckbindung steht vermehrt unter Be- 
schuss. So hat etwa der ITK-Verband 
BITKOM gerade erst öffentlich die Ab- 
schaffung der Zweckbindung gefordert. 
Damit steht der Verband keineswegs 
allein. Im Rahmen einer schriftlichen 
Anhörung hatte das BMI erst Ende 
2014 gemeinsam mit dem BMWi und 
dem BMJV unter anderem sehr ziel- 
gerichtet gefragt, »welche Bedeutung 
das Erfordernis der Kompatibilität des 
geänderten Zwecks einer Datenverar- 
beitung mit dem Erhebungszweck für 
bestehende und künftige Geschäftsmo- 
delle sowie für die Rechte und Interes- 
sen der Betroffenen habe« und »welche 
Folgen es für diese Geschäftsmodelle 
sowie für die Betroffenen hätte, wenn 
eine mit dem Erhebungszweck unver- 
einbare Zweckänderung aufgrund über- 
wiegender berechtigter Interessen des 
Datenverarbeiters (Art. 6 Abs. 1 lit. f 
DS-GVO-E) ausgeschlossen wäre.« 
Von wenigen Ausnahmen abgesehen, 
sind die eingegangenen Stellungnahmen 
bisher nicht veröffentlicht worden — die 
Ergebnisse der Anhörung sind jedoch 
umso sichtbarer: Die Innen- und Justiz- 
minister der EU-Mitgliedsländer haben 
im EU-Rat beschlossen, das Zweckbin- 
dungsprinzip auszuhebeln.? 

Vor diesem Hintergrund soll das 
Zweckbindungsprinzip als Artefakt? ei- 
ner spezifischen Operationalisierung des 
Datenschutzes im Recht beleuchtet und 
eingeordnet werden. Dabei sollen nicht 
nur schlaglichtartig die Genese dieses 
Rechtsgrundsatzes und seine historischen 
Begründungen erörtert, sondern auch ei- 
ner der ihm zunehmend entgegen gehal- 
tenen zentralen Kritikpunkte widerlegt 
werden — die vermeintliche Veralterung 
des Zweckbindungsgrundsatzes auf- 
grund neuerer technischer Entwicklun- 
gen, wie sie etwa unter dem Schlagwort 
»Big Data« zusammengefasst werden. 
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Die historischen Konstruktionen des 
Zweckbindungsgrundsatzes 


Informierte Einwilligung und 
Zweckbindung 


Der Grundsatz der Zweckbindung hat 
die moderne information privacy- und 
Datenschutzdebatte schon seit ihrem 
Beginn in den 1960er Jahren begleitet. 

Die »Special Committee on Science 
and Law« der New Yorker Anwalts- 
kammer formulierte im Rahmen einer 
wissenschaftlichen Untersuchung die 
Anforderungen, denen eine verantwort- 
bare Verhaltensforschung am Menschen 
zu genügen habe. Der Kommissionsvor- 
sitzende Oscar M. Ruebhausen und der 
Präsident der Russell Sage Foundation 
Orville G. Brim, Jr. veröffentlichten die 
Untersuchungsergebnisse, die sich dem 
Spannungsverhältnis zwischen wissen- 
schaftlicher Forschung und der »private 
personality« widmen, Ende 1965 in der 
Columbia Law Review.’ 

Als eine der wesentlichen Anforde- 
rungen identifizieren sie unter Verweis 
auf die Ergebnisse des Nürnberger Ärz- 
teprozesses die Notwendigkeit eines 
»fully informed consent, freely given, of 
the individual person being examined«.° 
Neben einer Diskussion über die not- 
wendigen Eigenschaften der Einwilli- 
gung - explizit oder implizit, informiert, 
freiwillig — stellen die Autoren fest, dass 
eine Einwilligung immer nur kontext- 
und zweckbezogen sein könne mit der 
Folge einer Kontext- und Zweckbin- 
dung für den Umgang mit den erhobe- 
nen Informationen: 

»Moreover, consent to the revelation 
of private personality for one purpose, 
or under one set of circumstances, is not 
license to publish or use the information 
so obtained for different purposes or un- 
der different conditions.«® 

Die Einwilligung wirke dabei nicht 
nur hinsichtlich der Kontext- und 
Zweckdimension einschränkend, son- 


dern auch »to the methods to be used, 
the risks to be taken, the degree of in- 
formation the subject wishes to give or 
receive, the type of data to be obtained, 
or the uses to which it may be put.«’ 
Einer sehr ähnlichen Begründung be- 
dient sich fünf Jahre später das Bundes- 
verfassungsgericht im Ehescheidungs- 
akten-Beschluss vom 15. Januar 1970.° 
Auch der damalige Bundesminister der 
Justiz hatte in seiner Stellungnahme an 
das Gericht auf den »begrenzten Kund- 
gebungszweck« verwiesen, mit dem 
»Details aus der ehelichen Intimsphä- 
re« in einem Ehescheidungsverfahren 
vorgetragen würden, nur darauf beziehe 
sich der »Wille der Beteiligten«. Diese 
Beschränkung werde »von der Rechts- 
ordnung durch die Bestimmungen über 
die Nichtöffentlichkeit der Verhandlung 
und die Amtsverschwiegenheit entspre- 
chend gesichert.«’ Das Bundesverfas- 
sungsgericht folgt in seinem Beschluss 
dieser Argumentation und stellt fest, 
dass »die Offenlegung in bezug auf den 
Adressatenkreis — das Gericht und die 
Verfahrensbeteiligten — und in bezug auf 
den verfolgten Zweck — Herbeiführung 
der Gerichtsentscheidung — inhaltlich 
begrenzt« sei. Eine Übersendung der 
Akten für andere Zwecke sei somit ein 
Eingriff in das Persönlichkeitsrecht der 
Ehegatten und ohne ihr Einverständnis 
nur dann zulässig, wenn sie nach dem 
Verhältnismäßigkeitsprinzip gerecht- 
fertigt sei.'° Eine solche Rechtfertigung 
vermochte das Gericht jedenfalls in Be- 
zug auf die disziplinarische Verfolgung 
von Dienstvergehen nicht zu erkennen. 
Das damit verfolgte Ziel ist offen- 
sichtlich: Die Einwilligung soll bedeu- 
tungsvoll gemacht werden, indem mit 
der Zwecksetzung — und der darauf auf- 
bauenden Zweckbindung - eine der we- 
sentlichen Eigenschaften von Informa- 
tion und Informationsverarbeitung der 
Entscheidungsprärogative der Betroffe- 
nen unterworfen wird. Die Zweckbin- 
dung ist insoweit ein Artefakt der Ent- 
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scheidung, die Informationserhebung, 
-verarbeitung und -nutzung von der Ein- 
willigung der Betroffenen abhängig zu 
machen. 


Phasenorientierung und Zweck- 
bindung 


In ihrem 1971 für das Bundesminis- 
terium des Innern erstellten und 1972 
veröffentlichten Gutachten »Grundfra- 
gen des Datenschutzes«,'' dessen dort 
entwickelte Regelungsarchitektur bis 
heute das Datenschutzrecht prägt, nicht 
nur das bundesdeutsche,'” beziehen sich 
Wilhelm Steinmüller et al. explizit auf 
diese Entscheidung des Bundesverfas- 
sungsgerichts und die dort formulierte 
»Zweckentfremdungsregel«, d. h. das 
»Verbot, Individualinformationen, die 
für einen bestimmten Zweck ermittelt 
sind, einem anderen Zweck zuzufüh- 
ren.«'? Damit erweitern sie gleichzeitig 
den Geltungsbereich des Zweckbin- 
dungsgrundsatzes: Nicht nur auf Basis 
einer Einwilligung erhobene perso- 
nenbezogene Informationen, sondern 
alle personenbezogenen Informationen 
dürften ausschließlich zu dem Zweck 
verarbeitet werden, zu dem sie erhoben 
wurden.'* 

Die Autoren knüpfen damit direkt an 
das von ihnen zugrunde gelegte Infor- 
mationskonzept an'® und lösen gleich- 
zeitig elegant das Zeitproblem, das sie 
mit ihrer phasenorientierten Gestaltung 
des Datenschutzrechts geschaffen ha- 
ben. 

Dieser _Operationalisierungsansatz 
knüpft an einen »tatsächlichen Prozeß 
[an]; er geht also von einer (zugleich 
gesellschaftlichen wie „technischen‘“) 
Realität aus.«'® Dieser Prozess ist die In- 
formationsverarbeitung, die »eine typi- 
sche Struktur aufweist«: »eine regelmä- 
Bige Wiederkehr gleicher Zustände des 
Prozesses der [Informationsverarbei- 
tung]«.'” An diesen Prozess — den »Ort 
des Problems« — und seine einzelnen 
»Phasen« ließen sich dann rechtliche 
Anforderungen formulieren.'® Die im 
Gutachten formulierten und später ins 
BDSG übernommenen Anforderungen 
betreffen jedoch jeweils nur eine Phase, 
nicht jedoch den Prozess insgesamt.'” 
Eine der beiden phasenübergreifenden 
Konstanten, die den ganzen Prozess 
rechtlich klammern, ist der Zweck, der 
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vor der Erhebung der Information fest- 
gelegt wird und an den die verantwortli- 
che Stelle bis zur Informationslöschung 
gebunden ist. Die andere Konstante ist 
der Personenbezug: Solange er besteht, 
muss er gleich bleiben; seine Aufhe- 
bung bietet jedoch eine Möglichkeit zur 
»Flucht aus dem Datenschutzrecht«.?® 

Beide Konzepte — der Personenbezug 
von Informationen und die Zweckbin- 
dung - lassen sich damit deutlich als Ar- 
tefakte der jeweils zugrunde liegenden 
Operationalisierungsentscheidungen 
identifizieren: Die Wahl des Informati- 
onskonzepts der Semiotik bietet mit der 
sigmatischen Informationsdimension 
eine rechtliche Anknüpfungsmöglich- 
keit für die bezeichnete Person und er- 
möglicht es — jedenfalls grundsätzlich —, 
zu jedem Zeitpunkt während des Infor- 
mationsverarbeitungsprozesses recht- 
lich verbindlich festzustellen, wer Rech- 
te gegenüber der verantwortlichen Stelle 
wahrnehmen darf und wem gegenüber 
die verantwortliche Stelle begründungs- 
und nachweispflichtig ist. Und wenn vor 
dem Hintergrund einer außerhalb des 
faktischen Herrschafts- und damit Ein- 
griffsbereichs der Betroffenen individu- 
elle Eingriffsrechte und -möglichkeiten 
geschaffen werden sollen, erfordert das 
gerade ein Konzept wie den Personen- 
bezug. 

Andererseits wird mit der Operatio- 
nalisierung des Datenschutzes im Recht 
über die einzelnen Phasen des Informa- 
tionsverarbeitungsprozesses ein Zeit- 
problem erzeugt: Die Dauer des Prozes- 
ses muss nicht a priori determiniert sein, 
auch müssen die einzelnen Phasen zeit- 
lich nicht direkt aneinander anschlie- 
ßen. Weil darüber hinaus grundsätzlich 
alle Bestandteile des Prozesses variabel 
sind — technische Verfahren und Daten- 
verarbeitungsmittel, die verarbeitende 
Stelle,?' deren innere Organisation und 
die mit der Verarbeitung betrauten Per- 
sonen u. v. m. —, existiert gerade keine 
natürliche Konstante als Prüfanker, von 
dem aus alle anderen Aspekte zu jedem 
Zeitpunkt während des Informations- 
verarbeitungsprozesses abgeleitet bzw. 
nachträglich überprüft werden können. 
Ein solcher Prüfanker muss demnach 
explizit konstruiert und in das Recht ein- 
geschrieben werden. Der Personenbe- 
zug ist dabei kein für diesen Zweck ge- 
eigneter Prüfanker, denn anhand dessen 


lassen sich weder die eingesetzten Mit- 
tel prüfen noch Erhebungs- und Verwen- 
dungskontexte. Personenbezug stellt 
nur die Verbindung zu den subjektiven 
Rechten her, während die objektivrecht- 
liche Dimension — die »zweite Säule des 
Datenschutzrechts«“? — gerade mit dem 
Zweckbindungsprinzip adressiert wird. 


Kontrollierbarkeit und Zweckbin- 
dung 


Es ist Bernhard Hoffmanns Ver- 
dienst, die erste — und bislang einzi- 
ge — umfassende Analyse der Rolle 
des Zweckbindungsgrundsatzes in der 
rechtlichen Operationalisierung, die 
der Datenschutz im bundesdeutschen 
Datenschutzrecht gefunden hat, vorge- 
legt zu haben.” In seiner Betrachtung 
beschränkt er sich allerdings deutlich 
auf die Erforderlichkeit des Zweckbin- 
dungsprinzips für die »Wahrung des 
ursprünglichen Erhebungskontexts«** 
und insbesondere für die Schaffung 
»wohlgeordnete[r], transparente[r] und 
kontrollierbare[r] Strukturen«.®° Die 
Rolle des Zweckbindungsgrundsatzes 
für die Sicherstellung einer bedeutungs- 
vollen Einwilligung der Betroffenen und 
die Lösung des Zeitproblems des proze- 
duralen Datenschutzrechtsansatzes blei- 
ben demgegenüber überraschend ausge- 
blendet. 

Einerseits sind Zwecke strukturbil- 
dend, sie definieren Bereiche und damit 
die Grenzen zwischen den Bereichen, 
die zur Informationsflusskontrolle ge- 
nutzt werden können.” Andererseits 
dienen sie der Bestimmung der Menge 
der für die Zweckerreichung, also in- 
nerhalb der Bereiche, funktional äqui- 
valenten Handlungsmöglichkeiten und 
Mittel.?” Datenschutzrechtlich handelt 
es sich dabei um die Bestimmbarkeit der 
Geeignetheit. Die Setzung von Zwecken 
trennt dabei den Raum aller überhaupt 
möglichen Handlungen und Mittel so- 
wie ihrer Wirkungen in erwünschte 
und unerwünschte.?® Zugleich eröffnet 
die Zwecksetzung die Möglichkeit, die 
grundsätzlich erwünschten Handlungs- 
alternativen und Mittel sinnvoll mitein- 
ander vergleichen zu können,” so etwa 
zur Unterscheidung zwischen erforder- 
lichen und nicht erforderlichen Hand- 
lungen und Mitteln. Auf dieser Basis 
kann abschließend die Angemessenheit 
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der Handlungen und Mittel adressiert 
werden. Mit der Zweckbindung, der 
»Gewährleistung einer ausschließlich 
zweckbestimmten Verwendung«,°® wird 
dann Kongruenz von Sollen und Sein si- 
chergestellt. 

Das Zweckbindungsprinzip ist dem- 
nach Mittel zur Erzeugung von Kon- 
trollierbarkeit der Informationserhe- 
bung, -verarbeitung und -nutzung so- 
wie der dabei verwendeten technischen 
wie nicht-technischen Mittel, indem es 
wohlgeordnete Organisationsstruktu- 
ren und Prozesse erzeugt, die zugleich 
transparent gemacht werden können 
— den Organisationen selbst, vor allem 
jedoch den Betroffenen und den Auf- 
sichtsbehörden. 


Zweckbindung ist nicht veraltet 


Im Ergebnis stellt sich Zweckbindung 
nicht notwendigerweise als Teil einer 
Datenschutz- oder information privacy- 
Theorie dar, sondern in erster Linie als 
ein Artefakt spezifischer Operationali- 
sierungen und Umsetzungen im Recht. 
Sie dient als konzeptionelle und opera- 
tionale Klammer um den Prozess von 
Informationserhebung, -verarbeitung 
und Entscheidungsfindung, indem sie als 
Konstante in einem dynamischen Umfeld 
wirkt und damit einen festen Anker für 
die Prüfung sowohl der Handlungen wie 
der eingesetzten Mittel bietet. Zugleich 
stellt sie bei hoheitlichen Informations- 
verarbeitungsprozessen sicher, dass diese 
grundsätzlich auf die konkrete behördli- 
che Aufgabe beschränkt und die Anfor- 
derungen der zur Erhebung ermächtigen- 
den Rechtsgrundlage gewahrt bleibt. 

Zwecksetzung ist dabei entweder 
Fremd- oder Selbstbindung, Zweckbin- 
dung ist dessen überprüfbare Einhaltung. 
Während der öffentliche Bereich durch 
Fremdbindung in Form von Zweck- und 
Aufgabenzuweisung geprägt ist, handelt 
es sich im nicht-öffentlichen Bereich in 
der Regel um eine Selbstbindung, also 
im Grunde eine Ausprägung von Selbst- 
regulierung, dafür jedoch mit Compli- 
ance-Garantie. 

Darüber hinaus war Zweckbindung 
schon immer kontrafaktisch. Seit der 
Erfindung der Schrift vor fast 6.000 
Jahren durch die Sumerer speichern alle 
Datenträger, die die Menschheit je er- 
funden hat, ausschließlich Zeichen. Mo- 
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derne Datenverarbeitungssysteme wie 
Computer sind reine Syntaxverarbei- 
tungsmaschinen — Kontext- und Zweck- 
freiheit sind oft explizite Technikgestal- 
tungsziele;”? Kontexte und Zwecke den 
Systemen (wieder) beizubringen ist al- 
les andere als einfach.” 

Diese Eigenschaft der Multifunktio- 
nalität moderner IT-Systeme ist in der 
Datenschutzdebatte schon lange be- 
kannt.”* Zweckbindung war gerade die 
bewusste normative, aber eben auch 
kontrafaktische Antwort des Rechts auf 
moderne, grundsätzlich zweckfrei mög- 
liche Informationsverarbeitung.”° Dem- 
nach können Big-Data- und andere Ver- 
fahren moderner Informationsverarbei- 
tung dieses normative Instrument auch 
nicht »einfach veralten« lassen — im 
Gegenteil: Gerade seine Fähigkeit zur 
effektiven Beschränkung der Informa- 
tionsmacht der Datenverarbeiter macht 
das Zweckbindungsprinzip bei privaten 
wie öffentlichen Datenverarbeitern und 
deren jeweiligen Lobbyisten derart un- 
beliebt.’° 


Die Zukunft der Zweckbindung 


Der Datenschutz adressiert das Pro- 
blem der gesellschaftlichen Machtver- 
teilung und Machtkontrolle unter den 
Bedingungen der Industrialisierung der 
gesellschaftlichen Informationsverar- 
beitung — vergleichbar zum »Problem 
des Verfassungsstaates im politischen 
Bereich und [...] der Kontrolle der 
Produktionsverhältnisse im wirtschaft- 
lichen Bereich«°’ — mit seinen Folgen 
für Mensch und Gesellschaft, Gruppen 
und Institutionen.’® Viele überkom- 
mene Operationalisierungen gelten 
grundsätzlich oder in ihrer Umsetzung 
im Recht jedoch inzwischen als nicht 
mehr zeitgemäß, etwa der exzessive 
Fokus des Rechts auf die individuelle 
Einwilligung,” oder werden zu Recht 
hinterfragt, etwa die Möglichkeit der 
Grenzziehung beim Personenbezug von 
Informationen.“ Vorschläge für alterna- 
tive Regelungsansätze existieren, etwa 
unter Verwendung von Schutzzielen,* 
die seit den 1980er Jahren in der IT-Si- 
cherheit erfolgreich eingesetzt werden. 
Aber lässt sich damit auch das Zweck- 
bindungsprinzip ersetzen? 

Als Alternative zur Nutzung der per- 
sonenbezogenen Information als An- 


knüpfungsobjekt des Datenschutzrechts 
ließe sich etwa — wenn die Anbindung 
an das Individuum und die Möglich- 
keit zur Festschreibung von Betroffe- 
nenrechte beibehalten werden soll — an 
das Konzept der personenbezogenen 
Entscheidung rechtlich anknüpfen. Per- 
sonenbezogene Entscheidungen seien 
dabei alle sozial relevanten Entschei- 
dungen über Menschen in vermachteten 
Verhältnissen. Dies würde vor allem das 
Problem adressieren, dass Organisati- 
onen keineswegs — wie es der derzeiti- 
ge Datenschutzrechtsansatz unterstellt 
— Menschen nur auf der Basis von In- 
formationen sortieren, kategorisieren, 
bewerten und über sie entscheiden, die 
personenbezogen im Sinne des Daten- 
schutzrechts sind, sondern durchaus 
auch auf der Basis von Gruppen- oder 
statistischen Informationen.” Über den 
Anknüpfungspunkt der personenbezo- 
genen Entscheidung wären dann alle 
Informationen, ob personenbezogen 
oder nicht, die zur Grundlage dieser 
Entscheidung gemacht worden sind 
oder gemacht werden sollen, rechtlich 
adressierbar.* 

Doch auch der Fokus des Daten- 
schutzrechts auf die Einwilligung der 
Betroffenen ist nicht alternativlos. Mit 
dem das Rechtsstaatsprinzip adaptieren- 
den Prinzip des »Systemdatenschutzes« 
steht längst ein angemessener Ersatz zur 
Verfügung: 

»Systemdatenschutz heißt dann die 
Menge der Rechtsregeln, die Vorgän- 
ge der Informationserhebung oder der 
Informationsverarbeitung unabhängig 
davon, ob im Einzelfall Interessen der 
Betroffenen berührt sind oder nicht, 
rechtlich so ordnen, daß die Gesamtheit 
der rechtlich geregelten Informations- 
vorgänge keine sozialschädlichen Fol- 
gen herbeiführen.«* 


Im Grunde nichts Neues — mit dem 
BDSG sind schon immer auch nicht-öf- 
fentliche Stellen aus dem Rechtsstaats- 
prinzip folgenden Anforderungen unter- 
worfen;* dieser Ansatz wird inzwischen 
wieder deutlich lauter vertreten.* 

Selbst die Phasenorientierung als 
zentrales Element des derzeitigen Da- 
tenschutzrechts und Mittel zur Kom- 
plexitätsreduktion für eine Analyse für 
die von der Informationsverarbeitung 
ausgehenden Gefahren kann zur Dis- 
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position gestellt werden. Schon in der 
EG-Datenschutzrichtlinie 95/46/EG 
von 1995 war sie nur noch rudimentär 
vorhanden. Mit den Entwürfen für eine 
EU-Datenschutzgrundverordnung hat 
sie weiter an Boden verloren, und mit 
dem Inkrafttreten der Verordnung würde 
sie aus dem deutschen Datenschutzrecht 
wohl einfach verschwinden. Auch der 
derzeit meistdiskutierte alternative Re- 
gelungsansatz, der auf der Verwendung 
von Schutzzielen basiert,*” kommt ohne 
eine Phasenorientierung aus.* 

Allein für das Zweckbindungsprinzip 
scheint keine geeignete Alternative in 
Sicht. Zwar gibt es wie beschrieben Be- 
strebungen zu seiner Abschaffung, auch 
wurden schon Abschwächungsvorschlä- 
ge unterbreitet,* ein Vorschlag für einen 
funktional äquivalenten Ersatz, mit dem 
die Wahl der Mittel und ihre Verwen- 
dung sowohl entschieden wie geprüft 
werden kann, wurde bislang jedoch 
nicht vorgelegt. Und gerade diese Eigen- 
schaft ist es, die den zentralen Wert des 
Zweckbindungsgrundsatzes ausmacht: 
Die Geeignetheit des Zwecks, ob selbst- 
oder fremdgesetzt, als Konstante und 
fester Prüfanker die Kontrollierbarkeit 
zunehmend komplexer Informationsver- 
arbeitungs- und Entscheidungsprozesse, 
der beteiligten Akteure, ihrer Handlun- 
gen und der eingesetzten Mittel — von 
Hard- und Software über Algorithmen 
und Heuristiken bis zu den verwende- 
ten Informationen - herzustellen und zu 
wahren. Wenn zum Schutz der einzelnen 
Betroffenen und der Gesellschaft insge- 
samt vor der strukturell überlegenen 
Informationsmacht von Organisationen 
die Ausübung dieser Macht einer Kon- 
trolle unterworfen werden soll, führt am 
Prinzip der Zweckbindung derzeit kein 
Weg vorbei. 


1 BITKOM (2015). EU-Datenschutzver- 
ordnung muss Innovationen ermögli- 
chen. Presseerklärung vom 24.06.2015. 
url: http://www.bitkom.org/de/pres- 
se/8477_82534.aspx. 


2 Stefan Krempl und Andreas Wilkens 
(2015). „EU-Datenschutzreform: Zweck- 
bindung und Datensparsamkeit ausgehe- 
belt“. In: heise online. 15.06.2015. url: 
http://heise.de/-2690862. 


3 Artefakt kann einerseits allgemein etwas 
Menschengemachtes bezeichnen, ande- 
rerseits jedoch auch ein — oft störendes 
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Datenschutznachrichten aus Deutschland 


Bund 


Minister nutzen vermehrt 
Wegwerf-Handys 


Hohe deutsche Beamte und Mitglieder 
der Bundesregierung nutzen auf ihren 
Dienstreisen offenbar immer häufiger 
Einweg-Handys, weil sie Angst davor 
haben, ausgespäht zu werden. Die Gefahr 
durch ausländische Agenten ist real. Bei 
offiziellen Auslandsreisen werden die 
Einweg-Handys nach der Rückkehr nach 
Deutschland vernichtet, und dies nicht 
nur bei Reisen nach China und Russland, 
sondern auch in verbündete Staaten wie 
Großbritannien und die USA. 

Das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) hatte Bun- 
desminister, Staatssekretäre und andere 
hochrangige Regierungsbeamte schon 
vor etwa zehn Jahren davor gewarnt, 
ihre eigenen Mobiltelefone mit auf Rei- 
sen zu nehmen. Da diese vor vertrauli- 
chen Gesprächen oft abgegeben werden 
müssten, bestehe die Gefahr einer Mani- 
pulation, etwa durch das heimliche Auf- 
spielen einer Spionagesoftware. Es sei 
ratsam, so das BSI in einem Merkblatt, 
ein unbenutztes Handy mitzunehmen 
und darauf nur die nötigsten Daten zu 
übertragen. Diese Mahnung war offen- 
bar lange Zeit vielfach in den Wind ge- 
schlagen worden, so ein Pressebericht, 
der Sicherheitskreise zitiert: „Es gibt 
deutliche Signale, dass man sensibler 
geworden ist.“ Nicht alle Regierungs- 
mitglieder folgen dem BSI-Ratschlag. 
So seien Außenminister Frank-Walter 
Steinmeier und Wirtschaftsminister Sig- 
mar Gabriel (beide SPD) zuletzt mit ih- 
ren eigenen Mobiltelefonen nach Kuba 
und China geflogen. In ihrem Umfeld 
hieß es, die Minister achteten darauf, 
dass ihre Handys nicht in fremde Hän- 
de geraten (Der Spiegel 30/2015, 18; 
Regierungsmitglieder nutzen vermehrt 
Wegwerf-Handys,  www.rp-online.de 
18.07.2015). 
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Bund 


Lufthansa will mit Kun- 
dendaten Geld verdienen 


Auf der Suche nach neuen Erlösquel- 
len will die Lufthansa mit den Daten 
ihrer Fluggäste Geld verdienen. Luft- 
hansa-Finanzvorstand Simone Menne 
meinte, Fliegen allein bringe es nicht 
mehr: „Nach Umsatz sind wir der größ- 
te Luftfahrt-Konzern der Welt. Aber die 
Märkte bewerten Google, Whatsapp 
nach ganz anderen Maßstäben — nur 
dank der Daten, die sie generieren. Unse- 
re Kundendaten dagegen werden an der 
Börse überhaupt nicht bewertet, folg- 
lich müssen wir mehr daraus machen. 
Wir müssen arbeiten mit diesen Daten.“ 
Ein Lufthansasprecher sagte, es liefen 
diverse Projekte, „um mit Kundenda- 
ten Zusatzerlöse zu generieren, etwa 
mit individuellen Angeboten“. Es gehe 
aber nicht darum, Daten zu verkaufen 
(Lufthansa will mit Kundendaten Geld 
verdienen, www.welt.de 13.06.2015; 
Lufthansa will Geld mit Kundendaten 
verdienen, SZ 15.06.2015, 20). 


Nordrhein-Westfalen 


Helga Block wird neue 
Datenschutzbeauftragte 


Die Landesregierung Nordrhein-West- 
falen hat auf Vorschlag des Ministers für 
Inneres und Kommunales beschlossen, 
dem nordrhein-westfälischen Landtag 
Ministerialdirigentin Helga Block als 
neue Landesbeauftragte für Datenschutz 
und Informationsfreiheit (LDI) zur Wahl 
vorzuschlagen. Innenminister Ralf Jäger 
erklärte am 16.06.2015 in Düsseldorf: 
„Aus meiner Sicht ist Frau Block die 
richtige Wahl, um auch zukünftig über 
den Schutz von Daten zu wachen und 
die Freiheit beim Zugang zu Informatio- 
nen in Nordrhein-Westfalen zu verwirk- 


lichen.“ Helga Block tritt die Nachfolge 
des 1950 geborenen Ulrich Lepper an, 
der Ende September 2015 nach fünf 
Jahren als oberster Datenschützer in den 
Ruhestand tritt. 

Seit 2001 war die gebürtige Münste- 
ranerin als Abteilungsleiterin im Innen- 
ressort unter anderem für die Themen 
Verfassungsrecht und Datenschutz ver- 
antwortlich. Zudem ist sie Landeswahl- 
leiterin des Landes Nordrhein-Westfa- 
len. Die Juristin arbeitete zunächst in 
den Bezirksregierungen in Detmold und 
Düsseldorf. Seit 1989 ist sie mit einer 
zweijährigen Unterbrechung im damali- 
gen Ministerium für die Gleichstellung 
von Frau und Mann in verschiedenen 
Positionen im Innenministerium tätig. 

Die Stelle der bzw. des LDI über- 
wacht die Einhaltung der Datenschutz- 
vorschriften bei den öffentlichen und 
nicht-öffentlichen Stellen und gibt die- 
sen gegenüber Empfehlungen. Sie ist 
für die Sicherstellung des Rechts auf 
Information zuständig und Anlaufstelle 
für Bürgerinnen und Bürger bei Fragen 
zum Datenschutz und zur Informations- 
freiheit (Helga Block soll neue Daten- 
schutzbeauftragte werden, https://land. 
nrw/de 16.06.2015). 


Rheinland-Pfalz 
Kugelmann folgt Wagner 


Die Fraktionen von SPD und Grü- 
nen haben sich in Rheinland-Pfalz auf 
Prof. Dr. Dieter Kugelmann als neuen 
Datenschutzbeauftragten geeinigt, der 
die Nachfolge von Edgar Wagner an- 
tritt, dessen Amtszeit eigentlich schon 
am 15.04.2015 zu Ende gewesen wäre. 
Kugelmann wurde vom Landtag Rhein- 
land-Pfalz am 01.07.2015 gewählt. Er 
übernimmt das Amt am 01.10.2015. 
Der SPD-Fraktionsvorsitzende Alex- 
ander Schweitzer erklärte: „Mit Dieter 
Kugelmann haben die Koalitionsfrakti- 
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onen eine Persönlichkeit nominiert, die 
hervorragend geeignet ist als Sachwalter 
von Datenschutzinteressen.‘“ Sein Kol- 
lege Daniel Köbler von den Grünen er- 
gänzte, mit Kugelmann gewinne Rhein- 
land-Pfalz einen anerkannten Rechts- 
wissenschaftler mit einem Schwerpunkt 
auf Informationsfreiheit. 

Der 52-jährige Kugelmann wur- 
de im pfälzischen Landau geboren 
und studierte unter anderem in Mainz 
Jura. 2006 trat er eine Professur an 
der Hochschule Halberstadt an, ehe er 
2008 zum Professor für Öffentliches 
Recht und Polizeirecht an der Deut- 
schen Polizeihochschule in Münster 
ernannt wurde. Kugelmann hat sich als 
Wissenschaftler unter anderem mit dem 
Informationsfreiheitsgesetz des Bundes 
beschäftigt. Kugelmann stellte sich am 
03.06.2015 den Regierungsfraktionen 
von SPD und Grünen vor. Bei beiden 
Terminen soll er große Zustimmung er- 
halten haben. 

Wagner meinte rückblickend: „Die- 
ses Amt ist klasse.“ Aber er sieht auch 
die Notwendigkeit für einen Genera- 
tionenwechsel: „Ich bin aus einer an- 
deren Generation, aus der Generation 
Münzfernsprecher.“ Er nutzte seine 
Verabschiedung, um Kritik an der ge- 
planten Vorratsdatenspeicherung zu 
üben. „Dass die Koalitionsfraktionen 
im Bund sich wieder darauf einlassen, 
die Grenzen der Verfassung auszuloten, 
halte ich für sehr problematisch. Wenn 
man sich überhaupt auf eine Vorrats- 
datenspeicherung einlassen will, dann 
sollte sie eng begrenzt werden.“ Auch 
Nachfolger Kugelmann soll sich bei 
seiner Vorstellung bei den Fraktionen 


kritisch über die Speicherung der Vor- 
ratsdaten gezeigt haben. Ministerpräsi- 
dentin Malu Dreyer (SPD) forderte im 
Rahmen von Wagners Verabschiedung 
eine lückenlose und zügige Aufklärung 
der Spähaffäre um den US-Geheim- 
dienst NSA. Sie habe Kanzlerin Angela 
Merkel (CDU) einen Brief geschrieben, 
um zu erfahren, welche rheinland-pfäl- 
zische Firmen betroffen seien. Wagner 
nannte sie einen Streiter für die Rechte 
der Menschen (Kugelmann folgt auf 
Wagner, www.swr.de 03.06.2015; LfDI 
RhPf. PM 01.07.2015, Prof. Dr. Dieter 
Kugelmann zum neuen Landesbeauf- 
tragten für den Datenschutz und die In- 
formationsfreiheit gewählt). 


Schleswig-Holstein 


Marit Hansen folgt Thilo 
Weichert im ULD 


Am 15.07.2015 wählte der Schleswig- 
Holsteinische Landtag Marit Hansen zur 
dortigen Landesbeauftragten für Daten- 
schutz. Marit Hansen war seit 2008 die 
Stellvertreterin von Dr. Thilo Weichert, 
der über zwei Amtsperioden das Amt 
des Landesbeauftragten für Datenschutz 
ausgefüllt hat und davor ebenfalls als 
Stellvertreter tätig war. Nach insgesamt 
17-jähriger Arbeit für die Datenschutz- 
behörde verlässt er nun das Unabhän- 
gige Landeszentrum für Datenschutz 
(ULD). In seiner Amtszeit entwickelten 
sich soziale Netzwerke, Web 2.0, Cloud 
Computing und Big Data, deren Da- 
tenschutzfragen er als einer der ersten 
in Publikationen und Vorträgen behan- 
delte. Mit seiner Dienststelle ermittelte 


Datenschutznachrichten aus dem Ausland 


Europa 

Nach Germanwings- 
Unglück: Expertengruppe 
für bessere medizinische 
Kontrolle 


Eine Expertengruppe unter Vorsitz 
der europäischen Flugsicherheitsbehör- 
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de EASA hat Konsequenzen aus dem 
Germanwings-Unglück am 24.03.2015 
vorgeschlagen (vgl. DANA 2/2015, 
82). Transportkommissarin Violeta Bulc 
hatte die Taskforce nach dem Unglück 
ins Leben gerufen, der auch der für 
den Flugbetrieb zuständige Bereichs- 
vorstand des Lufthansa-Konzerns Kay 
Kratky angehörte. Deren Bericht soll als 
Grundlage für spätere Empfehlungen an 


er in mehreren Datenschutzskandalen, 
wie beispielsweise dem Missbrauch von 
Kontodaten durch Call-Center. 

Mit Marit Hansen wird das erste Mal 
in Deutschland eine Informatikerin Da- 
tenschutzbeauftragte. Nach ihrem Studi- 
um an der Christian-Albrechts-Univer- 
sität zu Kiel spezialisierte sie sich auf 
Datenschutz. Zu ihren Schwerpunkten 
im ULD gehört die Konzeption und 
Gestaltung von rechtskonformen und 
technisch realisierbaren Lösungen. Seit 
20 Jahren arbeitet die gebürtige Schles- 
wig-Holsteinerin an der Schnittstelle 
von Jura und Informatik mit dem Ziel, 
Datenschutz handhabbar zu machen und 
von Anfang an in die Systeme einzubau- 
en. Die Kompetenz der parteilosen Da- 
tenschützerin wird von der Wirtschaft, 
von nationalen und internationalen For- 
schungsteams sowie europäischen Pro- 
jektkonsortien nachgefragt. 

Die 46-Jährige steht für inhaltliche 
Kontinuität der Arbeit des ULD und 
wird die bewährten Instrumente von 
Kontrolle, Prüfung und Beratung über 
Aus- und Fortbildung, Audit und Güte- 
siegel bis hin zum Bereich innovativer 
Datenschutzprojekte fortführen und 
ausgestalten. Das ULD bleibt weiter- 
hin Servicezentrum zu Datenschutz 
und Informationsfreiheit. Dabei un- 
terstützt es  schleswig-holsteinische 
Bürgerinnen und Bürger ebenso wie 
die Verwaltung und die Wirtschaft und 
geht Verstößen gegen das Recht nach 
(PM ULD SH 15.07.2015, Marit Han- 
sen zur Landesbeauftragten für Daten- 
schutz Schleswig-Holstein gewählt, 
www.datenschutzzentrum.de). 


die Flugbranche und für mögliche Ge- 
setzesänderungen dienen. Die Fachleute 
fordern generelle psychologische Unter- 
suchungen für künftige BerufspilotIn- 
nen: „Derzeit gibt es angehende Berufs- 
piloten, die für ihre Ausbildung niemals 
eine psychologische Bewertung absol- 
vieren.“ Zwar müssten sich Flugmedi- 
ziner auf die Angaben der PilotInnen 
zu möglichen Gesundheitsproblemen 
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verlassen können, doch solle mehr Wert 
auf die psychologischen Qualifikatio- 
nen der ÄrztInnen gelegt werden. Wei- 
terhin werden Alkohol- und Drogentests 
stichprobenartig und bei besonderen 
Anlässen durchführen. Der German- 
Wings-Unglückspilot Andreas Lubitz 
hatte offensichtlich zeitweise starke 
Antidepressiva genommen, die bei Un- 
tersuchungen auch noch im Nachhinein 
gefunden worden wären. Die Unterneh- 
men müssten unterscheiden zwischen 
„solider Unterstützung für Piloten, die 
(Probleme) selbst melden und Intole- 
ranz für Piloten, die sich nicht melden 
und ihr eigenes und das Leben anderer 
in Gefahr bringen“. 

Die Qualifikation und die Leistung 
von FliegerärztInnen sollen künftig bes- 
ser überprüft werden. Die EASA könnte 
hier neue Standards entwickeln. Zudem 
sollten sich diese ExpertInnen euro- 
paweit stärker vernetzen. Es wird ein 
„Gleichgewicht zwischen Arztgeheim- 
nis und Flugsicherheit“ gefordert: An- 
gehende PilotInnen können sich medi- 
zinische Atteste in jedem europäischen 
Staat ausstellen lassen, der EASA- 
Mitglied ist. Dazu gehören neben den 
28 EU-Ländern etwa die Schweiz oder 
Island. PilotInnen könnten daher ‚„Me- 
dizin-Tourismus“ betreiben und Staaten 
ohne zentrales System zur Datenspei- 
cherung wählen. Zudem könnten sie 
FlugmedizinerInnen konsultieren, die 
im Ruf stehen, weniger streng zu sein. 
Grunddaten zu bestimmten Untersu- 
chungen sollten daher für ganz Europa 
zusammengeführt werden. Dabei soll 
es vorerst nur um Personendaten von 
PilotIn und ÄrztIn, aber nicht um me- 
dizinische Informationen gehen. Die 
Autoren des Berichts betonen, dass das 
Arbeitsumfeld die PilotInnen bestmög- 
lich unterstützen soll. Vertrauen zu den 
KollegInnen und zum Arbeitgeber sei 
wichtig, um Probleme frühzeitig an- 
sprechen zu können. Eine „Atmosphäre 
der Angst‘ müsse vermieden werden. 

Der _Germanwings-Mutterkonzern 
Lufthansa lobte die EU-Empfehlungen 
zur Flugsicherheit. Die in Brüssel vorge- 
stellten Vorschläge stünden im Einklang 
mit den Ergebnissen der deutschen Ex- 
pertengruppe von Bundesregierung und 
dem Luftverkehrsverband BDL, erklär- 
te das Unternehmen am 17.07.2015 in 
Frankfurt. Einzelne Punkte wie zum 
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Beispiel die Anlaufstellen für Crewmit- 
glieder seien bei Lufthansa bereits seit 
vielen Jahren etabliert (Flottau, Strenger 
Blick ins Cockpit, SZ 18./19.07.2015, 6; 
EU-Arbeitsgruppe will psychologische 
Test für Piloten, www.tagesspiegel.de 
17.07.2015). 


Großbritannien 


Clooneys Überwachungs- 
kameras bedrohen Nach- 
barn 


Der US-amerikanische Schauspie- 
ler und Regisseur George Clooney hat 
Probleme mit der Bauvorschriften in 
England, der Heimat der Anwältin Amal 
Alamuddin, die er 2014 geheiratet hat, 
und wo er im schönen Oxfordshire ein 
denkmalgeschütztes Anwesen aus dem 
17. Jahrhundert erwarb. Ein Schwimm- 
becken und die Einrichtung eines Kino- 
saals waren noch kein Problem. Doch als 
das Ehepaar Clooney 18 schwenkbare 
Überwachungskameras im weitläufigen 
Gelände auf bis zu sechs Meter hohen 
Masten anbringen wollte, um das Anwe- 
sen gegen unerwünschte Eindringlinge 
zu schützen, stieß er auf Widerstand des 
zuständigen Gemeindeparlaments: Der- 
art hohe Pfeiler würden nicht zu einem 
denkmalgeschützten Anwesen passen. 
Außerdem könnten die Kameras von 
hoch oben aus Nachbarn filmen und de- 
ren Privatsphäre stören. Die Ratsherren 
schlugen vor, stattdessen lieber mehr 
Kameras zu nutzen und diese an nied- 
rigeren Positionen anzubringen (George 
Clooney liebt Kameras — zu sehr, SZ 
23.07.2015, 16). 


Kanada - weltweit 


Hacker stellen Seiten- 
sprungdaten ins Netz und 
drohen 


Nach einem Hacker-Einbruch sind 
KundInnendaten der Seitensprung- 
agentur Ashley Madison im Netz auf- 
getaucht. Gemäß einem Bericht des 
renommierten Sicherheitsexperten 
Brian Krebs ist der Betreiber des Sei- 
tensprungportals, der kanadische Inter- 
net-Konzern Avid Life Media (ALM), 


Opfer eines Datendiebstahls geworden. 
Die Hacker sollen dabei unter anderem 
die Nutzerdaten von Ashley Madison 
und anderen Sites des Konzerns erbeutet 
haben. Alleine Ashley Madison hat nach 
Angaben eines Unternehmenssprechers 
weltweit 37 Millionen Mitglieder und 
ist auch im deutschsprachigen Raum ak- 
tiv. Bei den veröffentlichten Daten han- 
delt es sich u. a. um Informationen zu 
Gehältern und Bankkonten von ALM. 
Ebenso seien aber Daten-Schnipsel zu 
Nutzer-Accounts von Ashley Madison 
und zwei weiteren ALM-Portalen online 
aufgetaucht. 

Zu der Veröffentlichung der Seiten- 
sprungdaten soll sich eine Person oder 
eine Gruppe mit dem Pseudonym „The 
Impact Team“ bekannt haben. Laut 
Krebs wirft „The Impact Team“ ALM 
vor, ihre KundInnen wegen ihrer Lösch- 
praktiken anzulügen. In seiner Stellung- 
nahme behauptet „The Impact Team“, 
Zugang zu allen Kundendatenbanken 
zu haben und fordert ALM auf, Ashley 
Madison und ein weiteres Portal aus 
dem Netz zu nehmen. Ashley Madison 
offline zu nehmen, werde das Unterneh- 
men etwas kosten, heißt es, „aber wenn 
ihr euch weigert, wird euch das noch 
mehr kosten“. Falls ALM der Forderung 
nicht nachkomme, werde man alle Da- 
ten aller KundInnen inklusive Sexfanta- 
sien, Nacktfotos und Gesprächen online 
stellen, ebenso Informationen zu Kredit- 
karten und echten Namen und Adressen. 

Der Geschäftsführer von ALM Noel 
Biderman bestätigte den Vorfall: „Aber, 
ob man uns mag oder nicht, es han- 
delt sich um eine Straftat.“ Das Sei- 
tensprungportal will nach dem großen 
Datendiebstahl seine umstrittene Politik 
zur Löschung von Anwender-Profilen 
ändern. Bislang hatte Ashley Madison 
19 US-Dollar von seinen KundInnen 
verlangt, die ihr Konto inklusive der 
über die Plattform ausgetauschten Mit- 
teilungen und Bilder endgültig löschen 
wollten. Jetzt will das Unternehmen die 
Lösch-Option für alle Mitglieder kos- 
tenlos anbieten. Sicherheitsexperte Gra- 
ham Cluley kritisierte den Schritt: „Die 
schließen das Tor, nachdem das Pferd 
bereits aus der Scheune abgehauen ist“. 
Avid Life Media wies Berichte zurück, 
das bezahlpflichtige Löschangebot sei 
technisch nie umgesetzt worden. Nach 
einer Löschanfrage würden tatsäch- 
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lich das komplette Mitgliederprofil und 
sämtliche Kommunikationsaktivitä- 
ten gelöscht. Dazu gehören Bilder und 
Nachrichten an andere Mitglieder der 
Plattform. 

Vor Ashley Madison war bereits ein 
anderes großes Portal für Sexkontak- 
te von einem Datenleck betroffen: Im 
Mai 2015 war eine zwei Monate zuvor 
erfolgte Attacke auf AdultFriendFin- 
der bekannt geworden, bei der 3,5 Mio. 
Konten betroffen waren. Damals waren 
Datensätze ins Netz gestellt worden, in 
denen sich nicht nur E-Mail-Adressen, 
Geburtsdatum, Postleitzahl sondern 
auch private Angaben fanden, etwa zu 
sexuellen Vorlieben der Mitglieder des 
Portals. Von dem Datendiebstahl waren 
anscheinend auch Mitglieder betroffen, 
die ihre Profile gelöscht hatten. In einem 
Obline-Forum hatten daraufhin Unbe- 
kannte gedroht, die Daten für Spam- 
Attacken zu nutzen. AdultFriendFinder 
ist schon 1996 als Kontaktbörse für Se- 
xualpartner gegründet worden und hat 
nach eigenen Angaben mehr als 40 Mio. 
Nutzende. Der Mutterkonzern Friend- 
Finder Networks Inc. teilte auf seiner 
Webseite mit, man arbeite eng mit den 
Strafverfolgungsbehörden zusammen 
(Ashley Madison: Nach Hackerattacke 
bietet das Seitensprungportal kosten- 
lose Datenlöschung an, www.heise.de 
21.07.2015; Unbekannte stellen Da- 
ten von Seitensprungportal ins Netz 
www.manager-magazin.de 20.07.2015; 
Mosbergen, Hackers Threaten To Out 
37 Million Users Of Cheating Web- 
site AshleyMadison.com 20.07.2015; 
US-Sexpartnerbörse gehackt, SZ 23.- 
25.05.2015, 28). 


USA 


Hacker stehlen Millionen 
Personaldatensätze von 
Verwaltung 


Anfang Juni 2015 wurde ein erfolg- 
reicher Hackerangriff auf Personalda- 
ten der US-Regierung bekannt. Als die 
Personalverwaltung am 04.06. einen 
erfolgreichen Hackangriff auf das Per- 
sonalbüro der US-Bundesbehörden (Of- 
fice of Personnel Management — OPM) 
entdeckte, erklärte sie, dass die Perso- 
naldaten von 4 Millionen Menschen 
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kompromittiert wurden. Tatsächlich war 
das Ausmaß aber viel schlimmer. Später 
teilte die Regierung mit, dass 18 Mio. 
Personalakten erbeutet worden sind. 

Der angeblich zweite Hack betrifft 
Informationen, die im Rahmen von Si- 
cherheitsüberprüfungen (Security Clea- 
rances) über Personen und ihr Umfeld 
gesammelt wurden. Wieviele Personen 
genau betroffen sind, wusste OPM nicht, 
wie aus einem Brief der OPM-Direkto- 
rin Katherine Archuleta vom 24.06.2015 
hervorgeht. Sie wendet sich darin an den 
Abgeordneten im Repräsentantenhaus 
Jason Chaffetz. Der Republikaner ist 
Vorsitzender des Ausschusses, der für 
die Überprüfung der Verwaltung zustän- 
dig ist. Chaffetz hat Archuleta bereits 
zum Rücktritt aufgefordert, was sie aber 
ablehnt. 

Die in US-Medien genannte Zahl von 
18 Millionen Sozialversicherungsnum- 
mern aus den Sicherheitsüberprüfungen, 
so Archuleta in ihrem Brief, sei eine 
„vorläufige, nicht verifizierte, ungefäh- 
re“ Angabe. Da die Sicherheitsüber- 
prüfung eines Menschen naturgemäß 
die Überprüfung seines persönlichen 
Umfelds nötig macht, dürften die Ha- 
cker Angaben über eine vielfach größe- 
re Gruppe als die 18 Millionen Bürger 
plus 4,2 Millionen Mitarbeiter erbeutet 
haben. Archuleta weiter: „Außerdem ar- 
beiten wir bewusst daran, festzustellen, 
ob Personen, deren Sozialversicherungs- 
nummern nicht kompromittiert wurden, 
über die aber andere Informationen 
preisgegeben worden sein könnten, auch 
als Betroffene des Vorfalls betrachtet 
werden sollten.“ Die 18 Millionen hatten 
für eine Bundesbehörde gearbeitet oder 
arbeiten wollen, beziehungsweise waren 
im Auftrag eines anderen (potenziellen) 
Arbeitgebers überprüft worden. Betrof- 
fen sind auch verdeckte Ermittler, deren 
falsche Identität nun auf dem Spiel steht. 
Ein Datenexperte nennt den Datendieb- 
stahl einen „Raub der Kronjuwelen‘“, 
Lottogewinn für jeden feindlichen Nach- 
richtendienst. Alles, was Spione und 
Agenten in Zeiten des Kalten Krieges in 
mühsamer Kleinarbeit zusammentragen 
mussten, könne jetzt auf Knopfdruck 
heruntergeladen werden. Gemäß einem 
Nachrichtenportal sind auch die Daten 
von FBI-Direktor James Comey betrof- 
fen, der sich wie folgt äußerte: „Wenn 
dem so ist, kennt man nun jeden Ort, an 


dem ich gelebt habe, seit ich 18 Jahre 
alt bin, jeden Nachbarn, alle Menschen, 
mit denen ich beruflich zu tun hatte, alle 
meine Reisen ins Ausland.“ Laut US- 
Regierungskreisen soll der Hack von der 
Volksrepublik China ausgehen, die das 
aber in Abrede stellt. Dies seien „grund- 
lose Anschuldigungen“. 

Am 09.07.2015 musste Archuleta 
ein weiteres Mal persönlich vor dem 
Ausschuss aussagen. Dabei gestand sie 
ein, dass „aufgrund des Alters unserer 
Einrichtungen Verschlüsselung [gespei- 
cherter Daten] nicht immer möglich“ 
sei. Bei dem Angriff hätte eine Ver- 
schlüsselung aber sowieso nichts ge- 
bracht. Die Angreifer hätten dann auch 
die Schlüssel und Passwörter kopiert. 
2014 hatte das interne Aufsichtsbüro des 
OPM empfohlen, 11 seiner 47 IT-Syste- 
me stillzulegen, die keine gültigen Si- 
cherheitsbescheinigungen mehr hatten. 
Das OPM folgte der Empfehlung nicht. 
„Systeme abzuschalten würde bedeuten, 
dass Rentner nicht bezahlt werden, und 
dass keine neuen Sicherheitsbeschei- 
nigungen ausgestellt werden könnten“, 
rechtfertigte sich Archuleta. Inzwischen 
hätten 10 der 11 Systeme eine neue oder 
zumindest eine eingeschränkte Sicher- 
heitsbescheinigung erhalten. 

Die Presse warf OPM nicht nur vor, 
in Absprache mit dem Weißen Haus den 
Hack in zwei Vorfälle geteilt, sondern 
auch, die Preisgabe der Sicherheitsdaten 
zweimal geleugnet zu haben. Journalis- 
ten hatten konkret nach den Daten aus 
den Sicherheitsüberprüfungen gefragt: 
Einmal vor der Bekanntmachung des 
„ersten Vorfalls“ durch das OPM, und 
dann erneut am Tag danach. Bei der 
zweiten Leugnung habe das FBI das 
OPM jedoch bereits über die Zugriffe 
auf die Sicherheitsinformationen infor- 
miert gehabt. Und auch gut vernetzte 
Außenstehende wussten offenbar bereits 
Bescheid. Aus einem Rundschreiben der 
Präsidentin der Universitäten von Kali- 
fornien vom 05.06. geht hervor, dass sie 
von der Kompromittierung der Sicher- 
heitsüberprüfung wusste. Die Uni-Prä- 
sidentin heißt Janet Napolitano und war 
bis September 2013 Ministerin für Hei- 
matschutz (Batthyany, Raub der digita- 
len Kronjuwelen, SZ 11./12.07.2015, 9; 
Hack des Personalbüros der US-Regie- 
rung viel schlimmer als gedacht, www. 
heise.de 25.06.2015). 
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USA 


Nach Verhöhnung bei 
Operation 1/2 Mio. Dollar 
Schadenersatz 


Eine US-Ärztin in Vienna/Virginia 
lästerte 2013 während der Operation 
über den Patienten, der narkotisiert vor 
ihr lag: „Syphilis am Arm“, „Tuberku- 
lose am Penis“. Sie wusste nicht, dass 
das Smartphone des Mannes die gesam- 
te Behandlung akustisch aufzeichnete — 
einschließlich aller Beleidigungen. Dies 
wurde teuer. Der Patient wollte lediglich 
die Anweisungen der Ärzte aufnehmen, 
die sie ihm nach seiner Darmspiegelung 
geben würden. Deshalb drückte er vor 
seiner Behandlung die „Aufnahme“- 
Taste auf seinem Smartphone. Als der 
Patient aus Reston im US-Bundesstaat 
Virginia allerdings auf seinem Weg nach 
Hause die Aufnahme abspielte, traute 
er seinen Ohren nicht. Der Patient hat- 
te versehentlich die gesamte Operation 
mitgeschnitten — und dabei auch diverse 
Lästereien und Beleidigungen seitens 
des Operationsteams eingefangen. 

Die „Washington Post“ veröffent- 
lichte Teile der Mitschnitte auf ihrer 


EGMR 


Forenbetreiber haftet für 
Beleidigungen durch Nut- 
zende 


Der Europäische Gerichtshof für 
Menschenrechte (EGMR) in Straßburg 
entschied am 16.06.2015, dass ein Be- 
troffener einer Beleidigung im Web- 
forum eines kommerziellen Anbieters 
von diesem Forenbetreiber Schadens- 
ersatz fordern kann, selbst wenn der 
die entsprechenden Posts auf Wunsch 
bereits entfernt hat. Ausgangspunkt 
war ein Streit darüber, ob in Estland 
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Webseite: „Während unseres OP- 
Vorgesprächs wollte ich Dir nach fünf 
Minuten ins Gesicht schlagen und 
Dich ein bisschen aufmischen“, so die 
42-jährige Anästhesistin während der 
Behandlung im Audio-Mitschnitt. Wei- 
ter warnte sie eine Kollegin davor, ihre 
Schutzkleidung abzulegen und bes- 
ser nicht mit dem Mann in Berührung 
kommen. Sonst könne sie „Syphilis 
oder so etwas am Arm bekommen“. 
Anschließend fügte sie unter Gelächter 
hinzu: „Es ist wahrscheinlich Tuber- 
kulose am Penis, also wird Dir nichts 
passieren.“ Kurze Zeit später hört man 
die Ärztin weiter über den Patienten 
spotten. Diesem werde nach eigenen 
Angaben schlecht, wenn er dabei zu- 
sieht, wie man ihm eine Nadel in den 
Arm sticht. „Na, warum siehst Du dann 
hin, Vollidiot?“, höhnte die Ärztin. Der 
Gastroenterologe ließ es sich nicht neh- 
men, einen Kommentar zu dem schla- 
fenden Mann abzugeben. „Solange es 
nicht Ebola ist, ist es okay.“ 

Das Operations-Team wusste nicht, 
dass in der Hose des Patienten, die di- 
rekt unter dem Operationstisch lag, sich 
sein Smartphone befand, welches jedes 
Wort mitschnitt. Die Aufnahmen bele- 
gen, dass die MedizinerInnen darüber 


Fähren vor der Küste das Eis kaputt 
machen dürfen. Das estnische Nach- 
richtenportal Delfi.ee hatte den EGMR 
angerufen. Auf der Plattform war im 
Januar 2006 ein Artikel über eine estni- 
sche Fährgesellschaft erschienen: Das 
Unternehmen hatte seine Routen zu be- 
stimmten Inseln geändert. Dies führte 
dazu, dass die Fähren das Eis an Stellen 
zerbrachen, an denen eigentlich Eis- 
straßen hätten angelegt werden sollen. 
Solche Eisstraßen ermöglichen Insel- 
bewohnern, ohne Fähre nach Hause zu 
kommen - mit dem eigenen Auto übers 
Eis. Die Schäden durch die Fähren ver- 
zögerten die Entstehung der Eisstraßen 
um mehrere Wochen. 


redeten, wie sie dem Mann nach der Be- 
handlung aus dem Weg gehen könnten. 
Eine Krankenschwester sollte sich dies- 
bezüglich einer Lüge bedienen. Schließ- 
lich teilte die Anästhesistin mit, dass sie 
im Befund „Hämorrhoiden“ angeben 
werde, obwohl gar keine gefunden wor- 
den wären, als „Ein Schuss ins Blaue.“ 
Das soll sie dann auch tatsächlich ge- 
macht haben. 

Der Patient ließ sich das Verhalten 
nicht gefallen und zog 2014 mit dem 
Audio-Material gegen zwei Ärzte vor 
Gericht und forderte 5 Mio. Dollar 
Schadenersatz. Tatsächlich bekam er 
500.000 Dollar (rund 445.000 Euro) 
zugesprochen: jeweils 50.000 Dollar 
für den Syphilis- und den Tuberkulo- 
se-Kommentar wegen Diffamierung, 
200.000 Dollar wegen ärztlicher Be- 
handlungsfehler und 200.000 Dollar 
zusätzlicher Schadenersatz. Gemäß ei- 
nem Pressebericht meinte einer der Ge- 
schworenen: „Wir kamen schließlich zu 
dem Schluss, dass wir ihm etwas geben 
müssen. Einfach um sicherzustellen, 
dass so etwas nicht wieder passiert“ 
(Ärztin beleidigt Patienten in Narko- 
se — sein Handy nahm alles auf, www. 
focus.de 25.06.2015; Ärzte-Trashtalk, 
SZ 26.06.2015, 10). 


Til sigjelg-ieialäigte 


Für manche Esten war das Thema ein 
ausgesprochen emotionales, wie man an 
den Kommentaren unter dem betreffen- 
den Delfi.ee-Artikel sehen kann. Vertreter 
der Fährgesellschaft wurden teils wüst 
beschimpft, es fielen Begriffe wie „Ab- 
schaum“, „Schweine“ und „Bastard‘“. 
Auch Aufrufe zur Gewalt gegen den Be- 
sitzer der Firma gab es. Delfi.ce entfernte 
die beleidigenden Kommentare nach ent- 
sprechenden Hinweisen. Doch der Besit- 
zer des Fährunternehmens, dessen Name 
von einigen der wütenden Kommenta- 
toren genannt worden war, war damit 
nicht zufrieden und verklagte das Nach- 
richtenportal Delfi vor einem Zivilgericht 
auf eine Entschädigung. Gegen eben jene 
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Entschädigungsforderung ging Delfi.ce 
nun seinerseits vor — und unterlag. Nach 
Ansicht des EGMR hatte Delfi die anstö- 
Bigen Kommentare nicht schnell genug 
entfernt. Das Gericht betont, dass es hier 
um ein kommerzielles Nachrichtenan- 
gebot gehe, und nicht um „andere Foren 
im Internet, wo von Dritten Kommentare 
verbreitet werden können, zum Beispiel 
ein Internetdiskussionsforum, ein Bulletin 
Board oder eine Social-Media-Plattform“. 

Schon im Oktober 2013 hatte der 
EGMR einmal gegen die Nachrichten- 
seite entschieden (Az.: 64569/09). Das 
Gericht entschied damals, dass die ge- 
gen Delfi verhängte Schadensersatzzah- 
lung in Höhe von etwa 320 Euro nicht 
als Einschränkung der Meinungsfreiheit 
zu werten sei. Diese Urteil wurde je- 
doch nicht rechtskräftig, der Fall wurde 
stattdessen an die Große Kammer des 
EGMR verwiesen, welche die Entschei- 
dung bekräftigte. 

Der Fall hat Relevanz für Betreiber 
von kommerziellen Nachrichtenangebo- 
ten in allen 47 Ländern des Europarats. 
Sie müssen sich darauf gefasst machen, 
für bösartige oder diffamierende Kom- 
mentare anonymer Nutzender unter 
Umständen zur Rechenschaft gezogen 
zu werden. Dies gilt für alle EU-Länder, 
für die Schweiz, die Türkei und die meis- 
ten osteuropäischen Länder wie Russ- 
land und die Ukraine, die Mitglieder der 
Straßburger Staatenorganisation sind. In 
Deutschland kann die Polizei bei Ver- 
leumdungen oder Beleidigungen verlan- 
gen, dass Seitenbetreiber die IP-Adresse 
der Nutzer offenlegen. 
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Webseitenbetreiber haften unter Um- 
ständen für rechtsverletzende Beiträ- 
ge ihrer Nutzer in Kommentarspalten, 
etwa, wenn ein Beitrag beleidigend ist 
oder unwahre Tatsachenbehauptungen 
enthält. Wird ein Webseitenbetreiber 
auf solche Inhalte hingewiesen — ob per 
Kontaktformular, Meldefunktion, Mail 
oder über sonstige Kanäle, muss er nach 
den Grundsätzen der sogenannten Stö- 
rerhaftung reagieren und beanstandete 
Beiträge gegebenenfalls löschen. Kommt 
er Beschwerden nicht innerhalb einer 
angemessenen Frist nach, drohen wegen 
der Verbreitung des Beitrags Unterlas- 
sungsansprüche und teure Abmahnun- 
gen. Ebenso muss ein Webseitenbetrei- 
ber angemessene Maßnahmen ergreifen, 
um zu verhindern, dass derselbe oder ein 
vergleichbarer Kommentar nicht einfach 
wieder in das Kommentarforum einge- 
stellt wird. Was eine „angemessene“ Frist 
ist, und was als „angemessene“ Maßnah- 
me gegen eine Wiederveröffentlichung 
gilt, ist bisher nicht eindeutig definiert. 
Werden auf der eigenen Webseite Kom- 
mentare zugelassen, sollte man in der 
Lage sein, schnell zu reagieren. Bei ver- 
öffentlichten Tatsachenbehauptungen ist 
es jedoch oft schwierig, deren Wahrheits- 
gehalt zu überprüfen und zu beweisen. 
Kann man das nicht, sollte man vorsorg- 
lich den Beitrag löschen, um weiteren 
Ärger zu vermeiden. 

Auch Verfasser rechtsverletzender 
Kommentare müssen mit Schwierig- 
keiten rechnen, wenn sich Betroffene 
beschweren. Deswegen sollte man be- 
sonders mit Tatsachenbehauptungen 
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vorsichtig sein. Auch Werturteile sollten 
stets einen Sachbezug aufweisen (Fo- 
renbetreiber haftet für Beleidigungen 
der Nutzer www.spiegel.de 16.06.2015). 


EuGH 


Markenrechte vor Daten- 
schutz 


Der Europäische Gerichtshof (EuGH) 
in Luxemburg hat mit Urteil vom 
16.07.2015 das Bankgeheimnis bei In- 
ternetstraftaten gelockert. Werden auf In- 
ternetplattformen gefälschte Waren ver- 
kauft, können geschädigte Rechteinhaber 
von der Bank Auskunft über den Konten- 
inhaber verlangen (Az. C-580/139). Den 
Ausgangsfall hatte die deutsche Firma 
Coty Germany angestoßen, die Lizenzin- 
haberin des Parfums Davidoff Hot Water 
ist. Sie verlangte von der Sparkasse Mag- 
deburg Auskunft über einen Konteninha- 
ber, der auf einer Internetplattform Fäl- 
schungen des Parfums angeboten hatte. 
Die Sparkasse verweigerte die Auskunft 
unter Berufung auf das Bankgeheimnis. 
Der damit befasste Bundesgerichtshof 
(BGH) legte den Fall dem EuGH vor. 
Die Luxemburger Richter entschieden, 
dass das Recht des geistigen Eigentums 
in solchen Fällen stärker wiegt als der 
Schutz personenbezogener Daten. Ban- 
ken und Sparkassen können sich dem- 
nach insofern nicht auf ihr Bankgeheim- 
nis berufen (EuGH lockert Bankgeheim- 
nis bei Internetstraftaten, www.freenet.de 
16.07.2015). 
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Unterwegs 
_ _ und 
überwacht 


Datenschutztagung 09. + 10.10.2015 in Bonn 


e Was weiß mein Auto über mich? 
NT ANTZ-TeaWsjelgle/aimant-/iaW\H1Toy. 
e Was verraten meine Mobilitätsdaten? 


Tagungsprogramm und Anmeldung unter www.datenschutzverein.de 
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